SSL og TLS i 2026
SSL (Secure Sockets Layer) og dens moderne etterfølger TLS (Transport Layer Security) krypterer kommunikasjonen mellom nettleseren og serveren. I 2026 er SSL obligatorisk for alle nettsteder — Chrome, Safari og Firefox merker HTTP-sider som "ikke sikre", og søkemotorer rangerer krypterte sider høyere. Uten SSL er siden din effektivt død.
Let's Encrypt revolusjonerte bransjen i 2015 ved å tilby gratis SSL-sertifikater. I 2026 tilbyr alle moderne hosting-plattformer (Vercel, Netlify, Cloudflare, Railway) automatisk SSL-oppsett uten at du behøver gjøre noe. Betalte sertifikater er kun relevante for spesifikke enterprise-behov.
SSL-typer og når du trenger dem
Domain Validated (DV)
Bekrefter at du eier domenet. Utstedes på minutter. Let's Encrypt, Cloudflare og alle moderne hosters gir dette gratis. Dekker 99 prosent av behovene.
Organization Validated (OV)
Bekrefter at bedriften din eksisterer. Tar 1-3 dager. Koster 1000-3000 kr/år. Relevant for bedrifter som ønsker mer tillit vist i nettleseren.
Extended Validation (EV)
Strengeste validering med organisasjonsnavn i adresselinjen (tidligere grønn bar — fjernet av moderne nettlesere). Koster 3000-10000 kr/år. I 2026 er dette stort sett utdatert.
Wildcard-sertifikater
Dekker *.dittdomene.no, dvs. alle undertenantn. Let's Encrypt støtter wildcard via DNS-challenge. Gratis på moderne plattformer.
Slik fungerer SSL i praksis
På Vercel, Netlify, Cloudflare Pages, Railway
Du trenger ikke gjøre noe. SSL provisjoneres automatisk når du legger til et domene. Let's Encrypt-sertifikater fornyes automatisk hver 60. dag.
På VPS (Hetzner, DigitalOcean)
Bruk Caddy — den enkleste reverse proxy med automatisk SSL:
# /etc/caddy/Caddyfile dittdomene.no { reverse_proxy localhost:3000 } # Det er alt. Caddy skaffer Let's Encrypt-sertifikat automatisk. # Fornyer også automatisk.
Alternative: Certbot + Nginx:
apt install certbot python3-certbot-nginx
certbot --nginx -d dittdomene.no -d www.dittdomene.no
# Fornyelse via cron automatisk
Sikkerhet utover SSL
Security headers
SSL er starten, ikke slutten. Disse HTTP-headerne bør alle moderne nettsteder sende:
# Strict-Transport-Security: tvinger HTTPS Strict-Transport-Security: max-age=63072000; includeSubDomains; preload # X-Frame-Options: beskyttelse mot clickjacking X-Frame-Options: SAMEORIGIN # X-Content-Type-Options: hindrer MIME-sniffing X-Content-Type-Options: nosniff # Referrer-Policy: kontrollerer hva som sendes i Referer-header Referrer-Policy: strict-origin-when-cross-origin # Content-Security-Policy: kontrollerer hva som kan lastes Content-Security-Policy: default-src 'self'; img-src 'self' data:
Test oppsettet ditt på securityheaders.com — målet er A eller A+.
WAF (Web Application Firewall)
Blokkerer OWASP Top 10-angrep: SQL injection, XSS, CSRF, osv. Cloudflare WAF er inkludert på Pro-planen (200 kr/mnd). AWS WAF og Azure WAF er tilgjengelig men dyrere.
DDoS-beskyttelse
Distributed Denial of Service-angrep overbelaster serveren din. I 2026 har alle moderne plattformer innebygd DDoS-beskyttelse. Cloudflare håndterer terabit-angrep automatisk. Hetzner har basic-beskyttelse men du må kombinere med Cloudflare for seriøs skalering.
Rate limiting
Begrens antall forespørsler per IP for å stoppe brute force-angrep og scrapers. Cloudflare Rate Limiting: 0,05 usd per 10 000 requests. Også tilgjengelig i Caddy og Nginx.
Bot-beskyttelse
Cloudflare Bot Management kjenner igjen mistenkelig trafikk. Inkludert i Pro-plan. For spesifikke login-sider: reCAPTCHA v3 eller Cloudflare Turnstile (gratis, bedre UX enn reCAPTCHA).
Sikkerhetspraksis på server (VPS)
Har du egen VPS, følg disse stegene første uken:
# 1. Oppdater systemet apt update && apt upgrade -y # 2. Sett opp firewall (bare åpne 22, 80, 443) ufw default deny incoming ufw allow 22 ufw allow 80 ufw allow 443 ufw enable # 3. Deaktiver root-login via SSH # Rediger /etc/ssh/sshd_config: # PermitRootLogin no # PasswordAuthentication no # 4. Opprett ny bruker med SSH-nøkkel adduser dittnavn usermod -aG sudo dittnavn # 5. Installer fail2ban apt install fail2ban # 6. Automatiske sikkerhetsoppdateringer apt install unattended-upgrades dpkg-reconfigure unattended-upgrades
Penetrasjonstesting
For seriøse produksjonssider: bruk Mozilla Observatory (observatory.mozilla.org) og SSL Labs (ssllabs.com/ssltest). Begge gir gratis sikkerhetsrapporter på minutter. Målet er A+ på begge.
Compliance
- GDPR: SSL er i praksis obligatorisk. Behandle persondata over HTTPS.
- PCI DSS: Betalinger krever TLS 1.2+ (bruk TLS 1.3).
- Offentlig sektor: Krever ofte sertifikater fra godkjente CA-er (f.eks. DigiCert).
Hva koster god sikkerhet?
- SSL-sertifikat: 0 kr (Let's Encrypt)
- Cloudflare Pro (WAF + DDoS): 200 kr/mnd
- Sentry for error-tracking: 0-260 kr/mnd
- Pen-test (én gang i året): 20000-50000 kr
For typisk SMB: 200-300 kr/mnd dekker 95 prosent av det du trenger.