10 år med websikkerhed: Hvad vi har lært – og hvor vi stadig fumler

10 år med websikkerhed: Hvad vi har lært – og hvor vi stadig fumler

Jul 04, 2026 web-security ssl-certificates https security-headers dns-security

Ti Års Websikkerhed: Hvad Vi Har Lært – og Hvor Vi Stadig Halter Bagefter

Forestil dig internettet i 2016. Pokémon Go fyldte alles telefoner. Instagram havde lige introduceret Stories. Og hvis du havde sikret dit website med HTTPS, var du en del af en lille flok – ofte mødt med lidt latterliggørelse fra dem, der mente, det var overkill.

Bare et årti senere er billedet radikalt anderledes. Spørgsmålet er ikke længere "skal jeg bruge HTTPS?" men snarere "hvorfor i alverden skulle jeg lade være?"

Tallene Taler Deres Tydelige Sprog

Ser vi på de million mest besøgte websites, er udviklingen bemærkelsesværdig:

  • HTTPS: Fra cirka 6% i 2015 til over 65% i dag
  • HSTS headers: En 22-dobling fra 11.000 til 252.000 sites
  • Content Security Policy (CSP): En voldsom stigning fra 1.365 til 170.000 – altså 125 gange flere

Disse tal er ikke bare tal for tallenes skyld. Da Chrome i 2017 begyndte at markere HTTP-sider som "Ikke Sikker", gik det webuniverselle panik. Men denne pres fungerede. I dag er du blandt undtagelserne, hvis du stadig kører uden HTTPS – i hvert fald hvis vi snakker toppen af skalaen, hvor trafik og omdømme betyder noget.

Den Gode Nyhed: Sikkerhed Er Ikke Længere Valgfrit

Det virkelig positive i ti års data er, at fundamentet har flyttet sig. For et årti siden var sikkerheds-headers som X-Content-Type-Options og X-Frame-Options at finde hos under 5% af de største sites. I dag ligger tallet omkring 30-35%.

Og det er vigtigt, fordi der ikke er tale om fancy funktioner. Ingen skriver blogindlæg om X-Frame-Options. Det er rørene i websikkerhedens verden – det kedelige arbejde, der forhindrer clickjacking, MIME-type sniffing og andre ubehageligheder. At dette er blevet standard viser, at branchen har lært at behandle sikkerhed som infrastruktur.

CSP fortjener særlig opmærksomhed. At se den vokse fra 1.365 til over 170.000 sider er som at følge en startup fra garage til industristandard. CSP er notorisk svær at implementere korrekt – du skal forstå dit sites indholdskilder, tredjepartsscripts, inline kode og meget mere. At så mange teams har taget sig tid til at få det rigtigt, vidner om en moden tilgang til defense in depth.

Den Dårlige Nyhed: Vi Har Mistet Farten

Her bliver optimismen kompliceret. Kigger vi på HTTPS-kurven de seneste år, er den fladet betydeligt ud. Vi har høstet de "lette" gevinster – sider der let kunne skifte, blogs der tog Let's Encrypt i brug, virksomheder der forstod risikoen ved at blive markeret som usikre.

Hvad der er tilbage, er de stædige sager. Legacy-applikationer der kræver massiv omskrivning. Interne værktøjer ingen vil røre. Sites ejet af organisationer, hvor sikkerhed stadig er "en andens problem". Det er ikke en kritik af fremskridtet – det er bare virkeligheden, at de sidste 10% af enhver adoptionskurve altid er de sværeste.

Mere bekymrende er op- og nedturen for visse beskyttelser. Extended Validation (EV) certifikater, engang udråbt som det ultimative tillidstegn (husker du den grønne bar i browseren?), er i praksis kollapset. Browserproducenterne fjernede den synlige indikation, og uden den synlighed var der ikke længere et forretningsmæssigt grundlag for at betale premiumpriser. Fra 15.600 på toppen til godt 4.000 i 2026. Et fascinerende studie i, hvordan brugeroplevelse former sikkerhedsøkonomi.

De Nye Spillere: Sikkerhed i 2026 og Fremover

De virkelig interessante data fra de seneste crawls handler ikke om de gamle standarder – men om hvad der kommer.

Post-kvantekryptografi begynder at dukke op i praksis. Det er ikke udbredt endnu, men vi ser de første tentative implementeringer, efterhånden som branchen gør sig klar til en fremtid, hvor kvantecomputere potentielt kan bryde nuværende kryptering. Sikkerhedsverdenen gør, hvad den gør bedst: forbereder sig på trusler, før de materialiserer sig.

Cross-origin isolation, ECH (Encrypted Client Hello) og andre privatlivsbevarende teknologier befinder sig i tidlig adoptionsfase. Det er byggeklodserne til et web, der er mere modstandsdygtigt over for overvågning og manipulation.

Cookie-sikkerhed har også fået fornyet opmærksomhed. Med tredjeparts-cookies der endelig bliver udfaset på tværs af browsere (efter år af udskydelser), er førsteparts-cookie-hygiejne blevet vigtigere end nogensinde. Sikre, SameSite-bevidste cookies var ikke en prioritet for mange udviklere for fem år siden. I dag er de baseline.

Hvad Det Betyder for Dine Projekter

Står du overfor at lancere et nyt site eller en ny applikation i dag, er budskabet fra et årtis data klart: behandl sikkerhed som grundlæggende infrastruktur, ikke som en eftertanke. HTTPS er ikke valgfrit. Sikkerheds-headers er ikke valgfrit. Værktøjerne er modnet, omkostningerne er faldet, og konsekvenserne ved at springe fundamentet over er vokset.

Men stop ikke der. Frontlinjen for websikkerhed har flyttet sig. Hold øje med:

  • Post-kvanteberedskab: Tænk over, hvordan din infrastruktur skal udvikle sig
  • Cookie-migration: Gennemgå din cookie-brug, før tredjepartsbegrænsninger rammer
  • Privatlivsbevarende alternativer: ECH og lignende teknologier kommer snart til en browser nær dig

Internettet i 2026 er umådeligt meget mere sikkert end i 2016. Men sikkerhed er ikke en destination – det er en løbende samtale mellem forsvarere og angribere, standardiseringsorganer og browserproducenter, udviklere og brugere. At vi stadig har den samtale, stadig måler, stadig forbedrer? Det er den virkelige sejr fra det seneste årti.

Skål for de næste ti års arbejde med at gøre internettet sikrere – én header, ét certifikat og én korrekt konfigureret server ad gangen.


Har du brug for hjælp til at få styr på sikkerhedsfundamentet? NameOcean tilbyder gratis SSL-certifikater, automatiseret DNS-håndtering og hostingmiljøer konfigureret til moderne sikkerhedsstandarder. Det bedste tidspunkt at sikre dit site var for et årti siden. Det næstbedste tidspunkt er nu.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE ZH-HANS EN