Hvad er HTTP og hvad er HTTPS?

HTTP (HyperText Transfer Protocol) er det sprog, browseren og webserveren taler sammen på, når du åbner en hjemmeside. HTTPS er den samme protokol, men pakket ind i kryptering (TLS), så det, der sendes frem og tilbage, ikke kan læses eller ændres undervejs af nogen udenforstående. Det er reelt lige så simpelt som det – men konsekvenserne af forskellen er store: sikkerhed, tillid, Google-ranking og i visse tilfælde også hastighed.

Synonymer: Hyper Text Tranfer Protocol, HTTP, HTTPS

Hvad er HTTP helt konkret?

Når du taster en adresse eller klikker et link, sender browseren en HTTP-forespørgsel til serveren: “send mig indholdet på denne side”. Serveren svarer med en HTTP-status (fx 200 OK, 301 Moved Permanently eller 404 Not Found) og selve indholdet – HTML, billeder, CSS, JavaScript. Alt dette sendes i klartekst. Det betyder, at enhver med adgang til netværket undervejs (offentligt wifi, internetudbyderen, en kompromitteret router) i princippet kan læse eller ændre indholdet, uden at hverken du eller din besøgende opdager det.

Hvad er HTTPS helt konkret?

HTTPS er HTTP sendt gennem et krypteret lag kaldet TLS (Transport Layer Security – den moderne afløser for det ældre SSL, som mange stadig kalder det af vane). Før noget indhold overhovedet udveksles, laver browser og server et såkaldt “håndtryk”:

  1. Browseren beder om en sikker forbindelse og fortæller, hvilke krypteringsmetoder den understøtter.
  2. Serveren svarer med sit SSL/TLS-certifikat, som indeholder en offentlig nøgle og bevis for, hvem serveren tilhører.
  3. Browseren tjekker certifikatet mod en certificate authority (CA) – en betroet udsteder som Let’s Encrypt, Sectigo eller DigiCert.
  4. Browser og server bliver enige om en fælles krypteringsnøgle (uden at sende den i klartekst) via en matematisk metode kaldet nøgleudveksling.
  5. Fra det øjeblik er al trafik krypteret med den nøgle, og hængelåsen vises i adresselinjen.

Det tekniske under motorhjelmen ændrer sig løbende (TLS 1.3 er standarden i 2026 og er både hurtigere og mere sikker end TLS 1.2), men princippet er det samme: identitetsbekræftelse først, kryptering bagefter.

Certifikat-typer: DV, OV og EV

Ikke alle SSL/TLS-certifikater er ens. De fleste hjemmesider har i dag et gratis DV-certifikat, men der findes tre niveauer:

TypeHvad der bekræftesTypisk brugPris
DV (Domain Validation)At du kontrollerer domænet – intet om virksomhedenLangt de fleste sites, herunder WordPress/WooCommerceGratis (Let’s Encrypt) til få hundrede kr./år
OV (Organization Validation)At virksomheden bag domænet reelt eksistererB2B-sider, hvor lidt ekstra tillid ønskesNogle hundrede til et par tusind kr./år
EV (Extended Validation)Grundig verifikation af virksomhedens juridiske identitetBanker, forsikring, større webshopsFlere tusind kr./år

For langt de fleste danske virksomheds- og privatsider er et gratis DV-certifikat teknisk set fuldt tilstrækkeligt – krypteringen er nøjagtig lige så stærk. OV og EV giver ikke bedre kryptering, kun mere synlig identitetsbekræftelse, og de fleste browsere viser i dag ikke længere firmanavnet i adresselinjen selv ved EV, hvilket har gjort prisforskellen sværere at forsvare for almindelige hjemmesider.

HTTP vs. HTTPS – forskellen i praksis

 HTTPHTTPS
Data undervejsKlartekst – kan læses/ændresKrypteret – kan hverken læses eller ændres undervejs
IdentitetsbekræftelseIngenJa, via certifikat fra en betroet udsteder
Browser-visning“Ikke sikker” advarsel (Chrome/Firefox)Hængelåse-ikon, ingen advarsel
Google-rankingIkke et positivt signalBekræftet ranking-signal siden 2014
Formularer/login/betalingFrarådet – data sendes åbentPåkrævet, ofte lovpligtigt (fx GDPR-praksis)
HTTP/2 og HTTP/3-understøttelseNej (kræver reelt HTTPS)Ja

Hvornår må man overhovedet bruge HTTP?

Kort sagt: aldrig, hvis man kan undgå det. Der findes ingen god grund til at køre en offentlig hjemmeside på ren HTTP i 2026. Selv en simpel opslagstavle uden login bør ligge på HTTPS, fordi moderne browsere aktivt advarer besøgende, og fordi Google nedprioriterer det i rankingen. Det eneste sted, HTTP typisk stadig ses, er i midlertidige udviklingsmiljøer på en lukket lokal server, hvor der ikke er nogen reel trussel.

Hvorfor HTTPS blev standard – en kort tidslinje

ÅrBegivenhed
2014Google bekræfter officielt, at HTTPS er et (lille) ranking-signal
2016Let’s Encrypt lancerer gratis, automatiserede certifikater – prisbarrieren forsvinder
2017Chrome begynder at markere HTTP-sider med login/betaling som “ikke sikker”
2018Chrome udvider advarslen til at gælde alle HTTP-sider
2018–2020HTTP/2 bliver standard hos de fleste hostingudbydere, kræver reelt HTTPS
2020+HTTP/3 (bygget på QUIC-protokollen) breder sig hos store CDN’er som Cloudflare

HSTS – det næste skridt efter HTTPS

Selv med HTTPS aktiveret kan en besøgende blive udsat for et “downgrade-angreb”, hvor første forbindelse til siden sniges over på HTTP. HSTS (HTTP Strict Transport Security) er en header, serveren sender, som fortæller browseren: “besøg aldrig denne side over almindelig HTTP igen – heller ikke selvom nogen prøver at tvinge det.” Det sættes typisk via serverens konfiguration eller .htaccess:

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Vær opmærksom på, at HSTS med “preload” er svært at fortryde – når det først er sat og indsendt til browserens preload-liste, kan det tage måneder at fjerne igen, hvis der senere skulle opstå behov for at køre dele af sitet uden HTTPS. Test derfor grundigt, før du slår preload til.

HTTP/2 og HTTP/3 – betydningen for hastighed

En overset pointe: skiftet til HTTPS handler ikke kun om sikkerhed. Det åbner også døren til nyere, hurtigere versioner af selve HTTP-protokollen.

  • HTTP/2 (multiplexing):  Én forbindelse kan håndtere mange filer samtidig i stedet for i kø – markant hurtigere indlæsning på sider med mange billeder, CSS- og JS-filer.
  • HTTP/2 (header-komprimering):  Gentagne headers (cookies, user-agent osv.) sendes ikke fuldt ud hver gang – mindre datamængde pr. forespørgsel.
  • HTTP/3:  Bygget på UDP-baserede QUIC i stedet for TCP. Løser “head-of-line blocking” (hvor ét tabt datapakke bremser alt andet) og er markant hurtigere på ustabile mobilforbindelser.

Pointen for dig som sideejer: en HTTPS-migrering uden samtidig HTTP/2- eller HTTP/3-understøttelse efterlader gevinsten på bordet. Tjek om din hosting reelt har slået det til – de fleste moderne udbydere og CDN’er som Cloudflare gør det automatisk, men ældre eller billige delt hosting gør det ikke altid.

Sådan får du HTTPS på din hjemmeside

  • De fleste danske hostingudbydere tilbyder i dag automatisk gratis SSL via Let’s Encrypt, direkte fra kontrolpanelet.
  • Certifikatet skal typisk fornyes hver 90. dag – med automatisk fornyelse aktiveret sker det i baggrunden uden du opdager det.
  • Brug en CDN som Cloudflare foran hjemmesiden – de udsteder og fornyer selv certifikater og kan tilbyde HTTP/3 med det samme.
  • For virksomheder med særlige krav (bank, forsikring, offentlig sektor) kan et OV/EV-certifikat give ekstra visuel tillid, men er sjældent nødvendigt teknisk set.

De 5 mest almindelige fejl ved skift fra HTTP til HTTPS

  • 1. Mixed content:  Billeder, scripts eller stylesheets, der stadig linkes med http:// i stedet for https:// (eller protokol-relativt //), gør at browseren blokerer dem delvist og fjerner hængelåsen. Løses ved at søge/erstatte i databasen (WordPress: “Better Search Replace”-pluginet) og tjekke konsollen for fejl.
  • 2. Manglende eller forkerte redirects:  Uden en korrekt 301-viderestilling fra hver http://-URL til den tilsvarende https://-URL mister siden linkværdi og kan skabe duplicate content mellem de to versioner.
  • 3. Canonical-tags der ikke er opdateret:  Hvis canonical-tags stadig peger på http-versionen, sender du blandede signaler til Google om, hvilken version der er den “rigtige”.
  • 4. Search Console og Analytics ikke opdateret:  Google Search Console og Google Analytics behandler http:// og https:// som separate “ejendomme”. Glemmer man at tilføje https-versionen og flytte historik, ser det ud som om al trafik pludselig forsvinder – den er bare flyttet til en ny property.
  • 5. Sitemap og robots.txt peger stadig på http:  robots.txt og sitemap.xml skal pege på https-adresser, ellers crawler Google stadig den gamle struktur.

Migrerings-tjekliste (HTTP → HTTPS)

  1. Installér SSL-certifikat og verificér at det er gyldigt for alle underdomæner, du bruger.
  2. Opdatér interne links, billeder og scripts til https:// i kode og database.
  3. Sæt en 301-viderestilling fra hver http-URL til den tilsvarende https-URL (aldrig blot til forsiden).
  4. Opdatér canonical-tags, sitemap.xml og robots.txt til https.
  5. Tilføj https-versionen som ny ejendom i Google Search Console og bekræft ejerskab.
  6. Opdatér tracking-koden i Google Analytics/GA4 og eventuelle annonceplatforme (Google Ads, Meta Pixel).
  7. Test hele sitet for mixed content-fejl i browserens udviklerværktøjer (konsol-fanen).
  8. Overvej HSTS – men uden “preload” i første omgang, indtil du er sikker på at alt fungerer.

Tjek at HTTP/2 eller HTTP/3 reelt er aktiveret hos din hosting/CDN efter migreringen.

FAQ om HTTP og HTTPS

Nej, ikke nødvendigvis. Let’s Encrypt-certifikater er gratis og understøttes af stort set al moderne hosting. Betalte certifikater (OV/EV) giver ikke bedre kryptering, kun mere synlig virksomhedsverifikation.

SSL er den ældre, forældede protokol, TLS er den moderne afløser. I daglig tale bruges “SSL-certifikat” stadig som fælles betegnelse, men teknisk kører alt sikkert i dag på TLS, typisk version 1.3.

Ja, i mindre grad – Google har bekræftet det siden 2014 som et af mange rankingsignaler. Effekten alene er lille, men manglende HTTPS kan i dag skade brugeroplevelsen og troværdigheden markant mere end selve ranking-effekten.

Kryptering koster mikroskopiske mængder ekstra regnekraft, men i praksis opvejes det fuldt ud af, at HTTPS åbner for HTTP/2 og HTTP/3, som ofte gør sitet hurtigere end den gamle HTTP-version.

Det betyder typisk mixed content – at siden er hentet over HTTPS, men indeholder ressourcer (billeder, scripts) hentet over usikker HTTP.

Ja. Selv en simpel informationsside bør køre på HTTPS i 2026 – browsere advarer besøgende ved almindelig HTTP, og det koster intet at undgå.

Kim Tetzlaff

Jeg har arbejdet som webudvikler siden 1995 med fokus på hastighedsoptimering og teknisk SEO - især på WordPress, WooCommerce og skræddersyede løsninger. Jeg hjælper virksomheder med at gøre deres websites teknisk stærke, hurtigere, mere stabile og mere synlige i Google. Og så laver jeg også nye hjemmesider til kunder.

Opdage Mere

Udforsk relateret indhold og nyeste samtaler

Hvad er Black Hat SEO?

Hvad er Black Hat SEO?

Black Hat SEO, Hvad er Black Hat SEO? og hvorfor det er dårligt for din…

Hvad er en DNS server

Hvad er en DNS server

Hvad er en DNS server? Domain Name Server DNS står for Domain Name Server, på…

Hvad er en SEO tekst?

Hvad er en SEO tekst?

Hvad er SEO tekst? og hvordan laver man SEO tekster?SEO tekster er tekst som i…

Hvad er et domæne?

Hvad er et domæne?

Domæne – Hvad er et domæner og hvad bruger man et domænenavn til?Et domæne er…

Kim Tetzlaff
Ertugrul Gultekin

Hej Kim. Jeg er gået i gang med at seo optimere min køreskole hjemmeside. Jeg synes LS er lidt langsom hvilket jeg også kan se,…

Læs mere
Kim Tetzlaff
Kim Tetzlaff

Hej Albert, Ja, jeg har samarbejdet med Madbanditten i mere end 10 år nu, og vi samarbejder stadig den dag i dag. Dette er som…

Læs mere
Kim Tetzlaff
Alblert

Hej Kim. Spændende case at læse om. Jeg har lige et enkelt spørgsmål - der står du har samarbejdet med Madbanditten.dk i mere end 10…

Læs mere
Disse 3 Fejl Begår De Fleste Webshop Ejere Når De Skal Optimere Deres Webshop – Start-Virksomhed.dk

[…] Optimering af webshop er en kontinuerlig proces, der kræver opmærksomhed på detaljer og en forståelse for, hvad der driver kundeadfærd. Ved at undgå de…

Læs mere
Kim Tetzlaff
Kim Tetzlaff

Jeg har skam uddybet lidt mere på andre indlæg. Men man kan sige at alle tingene som google tester, reelt har indflydelse, da de alle…

Læs mere