Gratis SSL-kollen
Gratis SSL test och HTTPS kontroll hemsida — kontrollera SSL-certifikat och om HTTP tvingas till HTTPS. Vårt SSL certifikat test körs direkt i webbläsaren utan konto eller installation, perfekt som första snabbkoll innan en fullständig säkerhetsgranskning.
Vad är SSL/TLS och varför måste din sajt ha det?
SSL (Secure Sockets Layer) och dess efterföljare TLS (Transport Layer Security) är protokoll som krypterar trafiken mellan besökarens webbläsare och din server. När din sajt har ett giltigt certifikat visas hänglåset i adressfältet och URL:en börjar med https://. Utan SSL skickas allt — formulär, lösenord, kakor — i klartext, vilket gör det trivialt för någon på samma WiFi att läsa eller manipulera trafiken. Sedan 2018 markerar Chrome och Safari sajter utan HTTPS som 'Inte säkra' och Google rankar HTTPS-sajter högre i sökresultaten.
Vad kontrollerar gratis SSL-kollen?
Vårt gratisverktyg gör två snabba tester direkt i din webbläsare: (1) svarar din domän över HTTPS överhuvudtaget, och (2) tvingas HTTP-trafik att redirecta till HTTPS. Det räcker för att fånga de vanligaste felen — utgånget certifikat, fel namn på certifikatet eller saknad redirect — men det är begränsat av webbläsarens säkerhetsmodell (CORS). En djupare analys (cipher suites, TLS-version, HSTS-header, certifikatutgivare, CAA-record, OCSP-stapling) kräver en server-side scanner som läser TLS-handshaken direkt.
Vanliga SSL-fel och hur du fixar dem
De fyra vanligaste problemen vi ser på svenska sajter: utgånget certifikat (set up auto-renewal med Let's Encrypt eller din hosts ACME-integration), 'mixed content' där HTML laddas över HTTPS men bilder/scripts över HTTP (sök efter 'http://' i din källkod och uppdatera), saknad HSTS-header som öppnar för downgrade-attacker (lägg till 'Strict-Transport-Security: max-age=63072000; includeSubDomains; preload' i din webserver), och certifikat som inte täcker www-varianten (använd ett SAN-certifikat eller wildcard *.dindomän.se).
SSL och GDPR — vad säger lagen?
GDPR artikel 32 kräver 'lämpliga tekniska åtgärder' för att skydda personuppgifter. IMY (svenska Datainspektionen) har utfärdat sanktionsavgifter mot företag som skickat personuppgifter över okrypterad HTTP. Om din sajt har ett kontaktformulär, inloggning eller checkout är HTTPS inte valbart — det är ett rättsligt krav. Tillgänglighetslagen (EAA) och PCI-DSS för kortbetalningar har också krav på TLS 1.2 eller högre.
Vanliga frågor om SSL/TLS
Är Let's Encrypt-certifikat lika säkra som betalda?
Ja. Let's Encrypt utfärdar samma typ av Domain Validation-certifikat som de flesta köpta SSL — krypteringen är identisk. Skillnaden ligger i validering: Extended Validation (EV) och Organization Validation (OV) certifikat verifierar företagsidentitet och kostar mer, men ger inte starkare kryptering. För 99% av svenska sajter räcker Let's Encrypt.
Hur ofta behöver jag förnya mitt SSL-certifikat?
Let's Encrypt-certifikat gäller i 90 dagar och förnyas automatiskt om du kör certbot eller använder en host som Vercel, Netlify eller Cloudflare. Köpta certifikat brukar gälla i 1 år. Från och med 2026 kortar branschen ner maxlängden gradvis, så automatisering är ett måste.
Vad är HSTS och behöver jag det?
HTTP Strict Transport Security är en header som säger till webbläsaren 'använd alltid HTTPS för min domän, även om användaren skriver http://'. Det blockerar nedgraderingsattacker. Du bör aktivera HSTS på alla produktions-sajter — börja med max-age=300 (5 min) för att testa, höj sedan till max-age=31536000 (1 år) när du är säker på att inget bryts.
Min sajt har SSL men Google säger ändå 'Inte säker' — varför?
Vanligaste orsaken är mixed content: din HTML laddas över HTTPS men en bild, ett script eller en stil refereras med http://. Öppna konsolen i Chrome (F12), ladda om sidan och leta efter 'Mixed Content' varningar. Andra vanliga orsaker: fel domännamn på certifikatet eller självsignerat certifikat utan att vara installerat i klientens trust store.
Relaterade verktyg
Fler gratis kontroller du kan köra på din webbplats.