Artikler

HSTS HTTPS domene: Tving sikker tilkobling permanent

HSTS tvinger nettlesere til å alltid bruke HTTPS for domenet ditt. Lær hvordan du setter opp HSTS-headere og preloading for permanent sikkerhet fra første besøk.

Erik

4 min read

HSTS (HTTP Strict Transport Security) er en sikkerhetsmekanisme som tvinger nettlesere til å alltid bruke HTTPS når de kobler til domenet ditt. Uten HSTS kan brukere bli omdirigert via usikre HTTP-tilkoblinger, noe som åpner for avlytting og manipulering av data. I denne guiden lærer du hvordan du aktiverer HSTS og preloading for domenet du registrerer hos Feno.

Kort oppsummert: HSTS forteller nettleseren at domenet ditt kun skal nås via HTTPS. Ved å legge til domenet i preload-listen til nettlesere som Chrome og Firefox, sikrer du at HTTPS håndheves fra aller første besøk. Oppsettet krever et gyldig SSL-sertifikat, en enkel serverheader og innsending til hstspreload.org.

Hva er HSTS og hvorfor trenger domenet ditt det?

HSTS er en HTTP-header som instruerer nettleseren om å kun kommunisere med serveren din over HTTPS. Når en bruker besøker nettstedet ditt for første gang og mottar HSTS-headeren, husker nettleseren dette og nekter å koble til via vanlig HTTP i fremtiden.

Uten HSTS er domenet ditt sårbart for såkalte SSL-stripping-angrep. En angriper som sitter på samme nettverk (for eksempel et åpent WiFi-nettverk) kan fange opp den første HTTP-forespørselen og omdirigere brukeren til en falsk versjon av nettsiden din. Brukeren merker ingenting fordi tilkoblingen ser normal ut.

I 2025 registrerte Netcraft over 100 000 phishing-angrep månedlig, og mange av disse utnyttet nettopp manglende HTTPS-håndhevelse. Med HSTS eliminerer du denne angrepsoverflaten fullstendig.

Forskjellen på HTTPS og HSTS

HTTPS krypterer trafikken mellom brukeren og serveren. Men HTTPS alene garanterer ikke at brukeren alltid bruker den krypterte tilkoblingen. En bruker som skriver inn domene.no i adressefeltet, vil ofte starte med en HTTP-forespørsel som deretter omdirigeres til HTTPS.

HSTS fjerner dette sårbare øyeblikket. Nettleseren vet allerede at domenet krever HTTPS og hopper over HTTP-steget helt. Tenk på HTTPS som låsen på døren og HSTS som instruksjonen om å alltid bruke den.

Slik aktiverer du HSTS HTTPS for domenet ditt

Å sette opp HSTS for domenet ditt er enklere enn mange tror. Du trenger et gyldig SSL-sertifikat og tilgang til webserverens konfigurasjon. Har du allerede registrert et .no-domene, er du godt i gang.

Steg 1: Sørg for gyldig SSL-sertifikat

Før du aktiverer HSTS, må domenet ditt ha et fungerende SSL-sertifikat. Gratis alternativer som Let's Encrypt fungerer utmerket. Sertifikatet må dekke både hoveddomenet og eventuelle subdomener.

Steg 2: Legg til HSTS-headeren

HSTS aktiveres ved å legge til en Strict-Transport-Security-header i serverens respons. Slik ser den ut for de vanligste webserverne:

Apache (.htaccess):

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Parameteren max-age angir hvor lenge (i sekunder) nettleseren skal huske HSTS-policyen. 31536000 sekunder tilsvarer ett år, som er anbefalt minimum for preloading.

Steg 3: Test oppsettet

Bruk verktøy som Security Headers (securityheaders.com) eller nettleserens utviklerverktøy for å verifisere at headeren sendes korrekt. Sjekk at alle sider returnerer HSTS-headeren, ikke bare forsiden.

HSTS preloading: Permanent HTTPS fra første besøk

Standard HSTS har én svakhet: den beskytter ikke det aller første besøket. Nettleseren må først motta headeren før den vet at HTTPS er påkrevd. HSTS preloading løser dette ved å bygge HSTS-informasjonen direkte inn i nettleseren.

Google vedlikeholder en HSTS preload-liste som brukes av Chrome, Firefox, Safari, Edge og Opera. Når domenet ditt står på denne listen, vet nettleseren at HTTPS er påkrevd allerede før brukeren besøker nettsiden for første gang.

Krav for å komme på preload-listen

  1. Domenet må ha et gyldig SSL-sertifikat
  2. All HTTP-trafikk må omdirigeres til HTTPS
  3. HSTS-headeren må inneholde max-age på minst 31536000 (ett år)
  4. Headeren må inkludere includeSubDomains
  5. Headeren må inkludere preload-direktivet
  6. Eventuelle subdomener må også støtte HTTPS

Slik sender du inn domenet

Gå til hstspreload.org og skriv inn domenet ditt. Verktøyet sjekker automatisk om alle kravene er oppfylt. Deretter kan du sende inn domenet for inkludering i preload-listen. Prosessen tar vanligvis noen uker før endringen når alle nettlesere.

Viktig: Preloading er vanskelig å reversere. Fjerning fra listen kan ta måneder. Sørg derfor for at HTTPS fungerer feilfritt på alle subdomener før du sender inn.

Vanlige feil ved HSTS-oppsett

Selv erfarne utviklere gjør feil med HSTS. Her er de vanligste fallgruvene:

  • For kort max-age: En verdi under 31536000 sekunder kvalifiserer ikke for preloading og gir svakere beskyttelse.
  • Glemmer includeSubDomains: Uten dette kan angripere utnytte usikre subdomener som inngangsport.
  • Manglende HTTPS på subdomener: Hvis et subdomene ikke støtter HTTPS og du bruker includeSubDomains, vil det subdomenet slutte å fungere.
  • Utløpt SSL-sertifikat: Når HSTS er aktivert og sertifikatet utløper, kan brukere ikke nå nettsiden i det hele tatt. Nettleseren tillater ikke å gå forbi advarselen.

Den siste feilen er spesielt kritisk. Med vanlig HTTPS kan brukere klikke seg forbi sertifikatadvarselen. Med HSTS er dette umulig. Derfor er det avgjørende å ha god kontroll på sertifikatfornyelsen. En norsk domeneregistrar som Feno tilbyr domeneovervåking som varsler deg før viktige frister utløper.

HSTS HTTPS domene: Komplett sjekkliste for sikring

La oss oppsummere en komplett sjekkliste for å sikre domenet ditt med HSTS:

  1. Registrer eller overfør domenet til en pålitelig registrar med DNSSEC-støtte
  2. Installer et gyldig SSL-sertifikat (Let's Encrypt eller kommersielt)
  3. Konfigurer webserveren til å omdirigere all HTTP til HTTPS (301-redirect)
  4. Legg til HSTS-headeren med max-age på ett år, includeSubDomains og preload
  5. Test med securityheaders.com og nettleserens utviklerverktøy
  6. Send inn domenet til hstspreload.org
  7. Sett opp overvåking for SSL-sertifikatfornyelse

Hele prosessen tar under en time for de fleste nettsteder. Investeringen i tid er minimal sammenlignet med konsekvensene av et sikkerhetsbrudd.

Hvorfor norsk registrar betyr noe for sikkerheten

Når en sikkerhetshendelse oppstår, teller minuttene. En domenekapring eller DNS-manipulasjon krever rask respons fra registraren din. Med en norsk registrar får du kundeservice på norsk, i norsk tidssone, med forståelse for norske lover og regelverk.

Feno tilbyr også DNSSEC-støtte og domeneovervåking som komplementerer HSTS-oppsettet ditt. DNSSEC beskytter mot DNS-forfalskning, mens domeneovervåking varsler deg ved uventede endringer i DNS-oppføringene dine.

Ofte stilte spørsmål om HSTS

Kan HSTS skade nettsiden min?

HSTS kan skape problemer hvis SSL-sertifikatet utløper eller hvis subdomener ikke støtter HTTPS. Vi anbefaler å begynne med en kort max-age (for eksempel 300 sekunder) for testing, og øke gradvis til 31536000 når alt fungerer.

Fungerer HSTS for .no-domener?

Ja, HSTS fungerer uavhengig av toppdomene. Norske .no-domener kan bruke HSTS og preloading akkurat som alle andre domener. Kombinert med DNSSEC fra registraren din gir dette svært solid sikkerhet.

Koster det noe å aktivere HSTS?

Nei, HSTS er helt gratis. Det er en serverinnstilling som ikke krever ekstra programvare eller tjenester. SSL-sertifikater er også gratis via Let's Encrypt.

Vil du sikre domenet ditt med HSTS og preloading? Registrer domenet ditt hos Feno i dag og få tilgang til DNSSEC, domeneovervåking og norsk kundeservice som hjelper deg med sikkerhetsoppsettet.

Read more