Vad är SSL-certifikat och behöver jag ett?
SSL krypterar trafiken mellan besökare och din webbplats. Ja, det är nödvändigt för alla webbplatser.
SSL-certifikat krypterar din webbplats
SSL (Secure Sockets Layer) och dess modernare version TLS (Transport Layer Security) är krypteringsprotokoll som säkrar kommunikationen mellan besökarens webbläsare och din webbserver. Ett SSL-certifikat aktiverar HTTPS-protokollet på din webbplats.
Ja, du behöver absolut ett SSL-certifikat. Det är inte längre valfritt utan en grundläggande säkerhetsfunktion som alla webbplatser måste ha.
Vad SSL-certifikat gör
Krypterar datatrafik
SSL krypterar all data som överförs mellan besökaren och din server. Detta inkluderar inloggningsuppgifter, kreditkortsuppgifter, personlig information och annat känsligt innehåll.
Utan kryptering kan angripare fånga upp denna information när den skickas över internet. Med SSL är datan omöjlig att läsa även om den fångas upp.
Verifierar webbplatsens identitet
SSL-certifikat bekräftar att din webbplats verkligen är din och inte en förfalskad kopia skapad av bedragare. Detta skyddar besökare från phishing-attacker.
Bygger förtroende
Webbläsare visar ett hänglås-ikon i adressfältet för HTTPS-webbplatser. Detta signalerar till besökare att webbplatsen är säker och legitim.
Webbplatser utan SSL visar varningsmeddelanden som "Ej säker" eller "Not Secure", vilket skrämmer bort besökare.
Varför SSL är obligatoriskt 2026
Google kräver HTTPS
Google använder HTTPS som en rankingfaktor. Webbplatser utan SSL får lägre ranking än säkra konkurrenter. Dessutom markerar Chrome och andra webbläsare HTTP-webbplatser som osäkra.
Per juni 2025 använder 88% av alla webbplatser HTTPS, upp från bara 18% fem år tidigare. Att inte ha SSL betyder att du tillhör den problematiska minoriteten.
Betalningar kräver SSL
Alla betalningslösningar som Stripe, PayPal, Klarna kräver att din webbplats använder HTTPS. Du kan inte ta emot betalningar utan SSL-certifikat.
GDPR och dataskydd
Europeisk GDPR-lagstiftning kräver att personuppgifter skyddas med lämpliga tekniska åtgärder. SSL-kryptering är en grundläggande del av detta skydd.
GDPR-säkra webbhotell inkluderar alltid SSL-certifikat som standard.
Moderna webbfunktioner kräver HTTPS
Många moderna webbfunktioner fungerar endast med HTTPS:
- Geo-lokalisering
- Progressive Web Apps (PWA)
- Service Workers för offline-funktionalitet
- HTTP/2 och HTTP/3-protokollen
SSL-certifikat typer
Domain Validation (DV)
Bekräftar att du äger domänen. Utfärdas automatiskt på några minuter. Detta är den vanligaste typen som de flesta webbplatser använder.
DV-certifikat är helt tillräckliga för de flesta småföretag, bloggar och webbplatser. Nästan alla svenska webbhotell erbjuder gratis DV-certifikat via Let's Encrypt.
Organization Validation (OV)
Bekräftar både domänägande och organisationens identitet. Kräver verifiering av företagsuppgifter. Mer förtroende än DV men också dyrare.
Extended Validation (EV)
Högsta verifieringsnivån med omfattande kontroll av organisation och juridisk status. Tidigare visades företagsnamnet i adressfältet, men moderna webbläsare har tagit bort denna funktion.
EV-certifikat är betydligt dyrare (1000-5000 kr per år) och numera sällan nödvändiga.
Wildcard-certifikat
Täcker huvuddomänen och alla subdomäner (*.exempel.se). Användbart om du har många subdomäner som blogg.exempel.se, shop.exempel.se, etc.
Gratis vs betalda SSL-certifikat
Let's Encrypt (gratis)
Let's Encrypt är en gratis certifikatutfärdare som revolutionerat SSL-användningen. Certifikat förnyas automatiskt var tredje månad.
För de flesta webbplatser är Let's Encrypt helt tillräckligt. Det erbjuder samma krypteringsstyrka som betalda certifikat.
Betalda certifikat
Kostar från några hundra till flera tusen kronor per år. Erbjuder:
- Längre giltighetstid (fram till 2026, därefter max 6 månader)
- Garantier vid säkerhetsbrott
- Dedikerad support
- Mer omfattande verifiering (OV/EV)
För de flesta småföretag och webbplatser är gratis Let's Encrypt-certifikat det bästa valet.
SSL-certifikat förändringar 2026
Från 2026 minskar maximal giltighetstid för SSL-certifikat till 6 månader. Detta ökar säkerheten men kräver mer frekvent förnyelse.
Google Chrome slutar också att lita på SSL-certifikat med ClientAuth EKU från 15 juni 2026. Nya certifikat måste endast inkludera server authentication EKU.
Automatisk förnyelse blir ännu viktigare - välj ett webbhotell som hanterar detta automatiskt.
Hur du får SSL-certifikat
Via ditt webbhotell
De flesta moderna webbhotell inkluderar gratis SSL-certifikat. Det installeras och förnyas automatiskt utan att du behöver göra något.
Kontrollera att ditt webbhotell erbjuder detta. Även billiga webbhotell inkluderar numera gratis SSL som standard.
Manuell installation
Om ditt webbhotell inte erbjuder automatiskt SSL kan du:
- Köpa certifikat från utfärdare som DigiCert eller Sectigo
- Använda Certbot för att installera Let's Encrypt manuellt
- Byta till ett webbhotell med inkluderat SSL
Efter SSL-installation
När SSL är installerat måste du också:
Omdirigera HTTP till HTTPS
Lägg till regler i .htaccess eller serverkonfiguration som automatiskt omdirigerar alla HTTP-förfrågningar till HTTPS.
Uppdatera interna länkar
Ändra alla interna länkar från http:// till https:// eller använd relativa länkar.
Uppdatera Google Search Console
Lägg till HTTPS-versionen av din webbplats som en ny egendom och uppdatera sitemap.
Kontrollera mixed content
Se till att alla resurser (bilder, CSS, JavaScript) laddas via HTTPS, inte HTTP. Mixed content kan orsaka säkerhetsvarningar.
När den automatiska förnyelsen tyst havererar
Att SSL-certifikat förnyas automatiskt stämmer i så gott som alla fall. Ett Let's Encrypt-certifikat gäller i 90 dagar, och förnyelsen sker normalt av sig själv ungefär en månad innan det löper ut. Men förnyelsen bygger på att utfärdaren kan hämta en liten kontrollfil från din server över en så kallad HTTP-01-utmaning (challenge), en hämtning av http://dindoman.se/.well-known/acme-challenge/ på port 80. Går den hämtningen inte igenom underkänns förnyelsen, utan att något larm hörs. Certifikatet ligger kvar och verkar friskt ända fram till dagen det plötsligt slutar gälla.
Vanliga orsaker till att förnyelsen fastnar
- En för bred redirect-regel. Just den typen av .htaccess-regel som föregående avsnitt rekommenderar, att tvinga all http-trafik till https, fångar ibland av misstag även
/.well-known/acme-challenge/. Lösningen är att undanta den sökvägen explicit i redirect-regeln. - Brandvägg eller WAF som stänger port 80 eller geoblockerar de servrar som utfärdaren använder för valideringen.
- Ett CMS som WordPress eller Laravel som dirigerar alla inkommande anrop rakt in i applikationen, så att kontrollfilen aldrig serveras som en vanlig statisk fil.
- Domänen har flyttats till ny server eller nytt DNS utan att förnyelsen hänger med, eller en CAA-post som inte tillåter Let's Encrypt som utfärdare.
På cPanel-baserade webbhotell sköts detta oftast av funktionen AutoSSL, på DirectAdmin och Plesk finns motsvarande automatik. Den fångar de allra flesta fallen, men den kan hoppa tyst över en enskild domän utan att flagga det för dig.
Så fångar du det i tid
Sedan den 4 juni 2025 skickar Let's Encrypt inte längre påminnelsemejl inför utgång, ett beslut som aviserades redan i januari samma år. Det finns alltså inget automatiskt säkerhetsnät kvar. Kontrollera därför giltighetstiden själv med jämna mellanrum, enklast med vår SSL-kollare som visar både utfärdare och exakt utgångsdatum, eller sätt en egen kalenderpåminnelse några veckor innan förnyelsen ska ske. Ändrar du en redirect-regel, verifiera direkt efteråt att /.well-known/acme-challenge/ fortfarande går att nå utifrån. Läs mer om hur valideringen fungerar i Let's Encrypts dokumentation om utmaningstyper.
Testa ditt SSL-certifikat
Du kan snabbt kontrollera certifikat, utfärdare och giltighetstid för din domän med vår egen SSL-kollare. För djupare konfigurationsanalys finns även verktyg som:
- SSL Labs Server Test: Omfattande analys av SSL-konfiguration
- Why No Padlock: Identifierar mixed content-problem
- Webbläsarens utvecklarverktyg: Console-fliken visar säkerhetsvarningar
Ett korrekt konfigurerat SSL-certifikat bör få A-betyg på SSL Labs.
SSL och prestanda
Äldre uppfattningar att SSL saktar ner webbplatser stämmer inte längre. Med moderna protokoll som TLS 1.3 och HTTP/2 kan HTTPS till och med vara snabbare än HTTP.
LiteSpeed med HTTP/3 levererar 15% snabbare krypterade anslutningar än äldre teknologier.
Sammanfattning
SSL-certifikat är inte valfritt - det är en absolut nödvändighet för alla moderna webbplatser. Det skyddar besökare, förbättrar SEO, möjliggör betalningar och bygger förtroende.
De flesta webbhotell erbjuder gratis automatiska SSL-certifikat. Om ditt inte gör det är det dags att byta till ett modernt webbhotell.