Simon Justesen

Det er efterhånden blevet standard at have TLS/SSL-certifikat på de sites, man hoster på sin webserver/sit webhotel. Så meget, at jeg egentlig håber, at det bare bliver standard i alle webserveropsætninger.
Mange nye browsere spørger selv efter en HTTPS-forbindelse - men det er vigtigt at huske, at det normalt ikke gælder ældre browsere, og så bliver der ballade, hvis man mixer HTTP-forbindelser med HTTPS.

Derfor kan du spare dig selv for mange hovedbrud, hvis du laver nogle få konfigurationsændringer i dit setup, og får manøvren ind på rygraden, som noget af det første, når du rykker dit webprojekt fra produktion til liveserveren.

Hvis ikke du gør det eller glemmer det, vil dine brugere for det første opleve, at de får at vide, at din side ikke er sikker, og så mister du måske en bruger til en konkurrent. Husk på, at ikke-teknisk anlagte Hr. og Fru Hansen ofte bliver bedt om at kigge efter hængelåsen i adressefeltet på browseren, som en indikator for, at alting er i orden. Hvis de bliver alt for usikre på, hvad der foregår, så smutter de med stor sandsynlighed fra dit website.

Du kan også risikere, at HTML-formularer med et strejf af Javascript måske slet ikke virker, fordi CORS - Cross Origin Resource Sharing er et minefelt uden HTTPS. Der kommer givetvis også et tidspunkt i nærmeste fremtid, hvor det bliver et ufravigeligt krav at være på en HTTPS-forbindelse, for at CORS vil lade en overførsel passere.

Platformsspecifikke guides

Apache: guide (SSL.com).

Har du et webhotel hos en dansk udbyder med adgang til at ændre i .htaccess, skal du bruge mod_rewrite-løsningen.

Nginx: guide (PhoenixNAP).

.NET Core: guide (Microsoft)