Start of Main Content

Sikker HTTP (HTTPS)

Siste oppdatering: 16. oktober 2018

Denne oversikten viser, om domener fra norske Statlige etater støtter HTTPS-protokollen (https://), og - hvis ja - hvor godt HTTPS er satt opp. HTTPS gjør at kommunikasjonen mellom nettleseren i din datamaskin/mobile enhet og serveren som driver nettstedet skjer sikkert. Dette gjøres ved å sende informasjonen pakket inn i krypterte pakker. teknologien anbefalt av alle store aktører på nettet som Google og Facebook, og også offentlige organer som Det hvite hus har gått inn for å innføre HTTPS på alle statlige nettsteder i USA.
I Norge er anbefalingen fra Difi enn så lenge at det skal være HTTPS på alle offentlige nettsteder som har innlogging eller behandler personopplysninger

Bruk av HTTPS garanterer ikke mot at et nettsted kan bli hacket eller angrepet på andre måter. For mer informasjon om hva HTTPS gjør (og ikke gjør), besøk den engelske versjonen av Vanlige spørsmål.

Hva betyr informasjonen om domenene? Hvorfor bruker man HTTPS? Disse og lignende spørsmål blir også tatt opp i oversikten Vanlige spørsmål .

Hvilke domener sjekkes?

Domenene som sjekkes kan knyttes til offentlige etater og virksomheter i Norge både i statlig, kommunal og fylkeskommunal sektor. Domenene tilhører alt fra store statlige organer som departementene til små lokale menigheter. Mer info om hvordan NRK lagde domenelisten kan leses på NRKbeta.

Fra oversikten sjekkes fire ulike "Endepunkter" for hvert domene: http://, http://www., https:// og https://www.

Det blir også sjekket om domener bare videresender trafikken til et annet nettsted.

Testen er gjort mulig ved hjelp Open Source verktøy.

Felt i oversikten

  • Bruker HTTPS
  • Mulige svar: Nei, Ja
  • Om et nettsted kan nås via HTTPS, enten direkte til domenet eller www-subdomenet.
    Nettsteder, som videresender alle forespørsler fra HTTPS til HTTLP telles som usikre og føres som Nei.
  • Alt på HTTPS
  • Mulige svar: Nei, Ja
  • Om et nettsted virker å bruke HTTPS som standard for all trafikk. Dette kan være tilfelle om trafikk på usikker HTTP omdirigieres til HTTPS, eller om nettstedet bare er tilgjengelig på HTTPS.
  • Strict Transport Security (HSTS)
  • Mulige svar: Nei, Ja
  • Om et domene har implementert HTTP Strict Transport Security implementiert. Det betyr, at nettlesere som støtter teknologien bare vil kommunisere med nettstedet over HTTPS, selv om man klikker på ei lenke som begynner med HTTP.
  • "Ja" betyr, at Strict-Transport-Securityer satt i HTTP-sikkerhetshode for nettstedet.
  • Skrudd av utdaterte/usikre standarder:
  • Muligheter: Ja, "Nei, bruker [...]"
  • "Ja" betyr, at tilkoblingen til serveren ikke bruker utdaterte/usikre krypteringsstandarder som RC4/3DES og SSLv2/SSLv3.
  • "Nei, bruker [...]" viser, hvilke krypteringsstandarder og protokoller som brukes, og som er kjent at har sikkerhetssvakheter.
  • Preloaded (anbefalt)
  • Muligheter: Nei, Forberedt, Ja
  • Forberedt betyr at dette domenet har satt en HSTS-Header, som gjelder for alle underdomener/subdomener og at det er markert for preloading (hardkoding i nettlesere). Alt som mangler er at hardkodingen innføres i nettlesere.
  • Ja betyr, at dette domenet er forberedt (se over) og informasjon er sendt inn til den offentlige Chrome preload-listen for hardkoding i nettlesere.