Ti år med nettsikkerhet: Lærdommene vi har tatt – og bekymringene som gjenstår

Ti år med nettsikkerhet: Lærdommene vi har tatt – og bekymringene som gjenstår

Jul 09, 2026 web-security ssl-certificates https security-headers dns-security

Ti år med webbsikkerhet: Hva vi har lært og hvor vi fortsatt bommer

Internett i 2016 føles som steinalderen. Instagram hadde akkurat lansert Stories. Pokémon Go var den største appen i verden. Og hvis du ville sikre nettsiden din med HTTPS, tilhørte du et lite mindretall—folk ble faktisk sett ned på som paranoid eller bortkastet.

Et tiår senere har landskapet endret seg så dramatisk at spørsmålet ikke lenger er «burde du bruke HTTPS?» men «hvorfor i all verden skulle du la være?» Men her er greia med framgang: den slutter aldri å kreve mer.

Tallene som forteller en historie

Ser vi på de tusen beste nettsidene de siste ti årene, er hovedtallene genuine oppmuntrende:

  • HTTPS-bruk: Fra rundt 6 % av toppsidene i 2015 til over 65 % i dag
  • HSTS-headers: En 22-dobling fra 11 000 til 252 000 nettsider
  • Content Security Policy (CSP): En svimlende 125-dobling fra 1 365 til 170 000 nettsider

Dette er ikke bare tall for tallas skyld. Da Chrome begynte å merke ikke-HTTPS-nettsider som «Ikke sikker» i 2017, hadde nettet et kollektivt panikkanfall. Men presset fungerte. I dag, hvis du driver en side uten HTTPS, er du i økende grad unntaket—spesielt blant topp-rangeringene der trafikk og omdømme betyr mest.

Den gode nyheten: Grunnsikkerhet er nå blitt... grunnmur

Det virkelig positive fra et tiår med data er at baseline-en har fundamentalt endret seg. For ti år siden hadde færre enn 5 % av topp-nettsidene sikkerhets-headers som X-Content-Type-Options og X-Frame-Options. I dag ligger de rundt 30-35 %.

Dette betyr noe fordi dette ikke er flashy funksjoner. Ingen skriver blogginnlegg om X-Frame-Options (vel, nesten ingen). Det er rørene i webbsikkerhet—den kjedelige stuffen som forhindrer clickjacking, MIME-type sniffing-angrep og annet stygt. Det at dette har blitt standard praksis viser hvor langt bransjen har kommet i å behandle sikkerhet som infrastruktur, ikke valgfritt tillegg.

CSP fortjener spesiell oppmerksomhet. Å se den vokse fra 1 365 til over 170 000 nettsider er cybersecurity-versjonen av å se en startup gå fra garasjeprosjekt til bransjestandard. CSP er ekte vanskelig å implementere riktig—det krever at du forstår sidens innholdskilder, tredjeparts-skript, inline kode-mønstre og mer. Det at så mange team har tatt seg tid til å få det til, forteller meg at bransjen har modnet i sin tilnærming til defense in depth.

Den dårlige nyheten: Vi har flatet ut (og noen ganger gått bakover)

Her blir optimismen komplisert. Ser du på HTTPS-kurven de siste årene, har den flatet betydelig ut. Vi har tatt de «enkle» seirene—nettsider som lett kunne bytte, blogger som brukte Let's Encrypt, bedrifter som skjønte omdømmerisikoen ved å bli merket som usikker.

Det som gjenstår er sta tilfeller. Legacy-applikasjoner som ville kreve betydelig refactoring. Interne verktøy ingen vil røre. Sider eid av organisasjoner der sikkerhet fortsatt er noen andres problem. Dette er ikke en kritikk av nettets framgang—det er bare realiteten at de siste 10 % av enhver adoptasjonskurve alltid er hardest.

Mer bekymringsverdig er opp- og nedturen til visse beskyttelser. Extended Validation (EV)-sertifikater, en gang solgt som gullstandarden for tillit (husker du den grønne linja i nettleseren?), har i praksis kollapset. Nettleser-leverandører fjernet den synlige markeringen som gjorde EV-sertifikater synlige for brukere, og uten denne differentieringen var det ingen forretningsmessig grunn til å betale premium-priser. Fra 15 600 på topp til bare over 4 000 i 2026. Det er en fascinerende case study i hvordan brukeropplevelse former sikkerhetsøkonomi.

Nye aktører: Sikkerhet i 2026 og videre

De virkelig interessante dataene fra nyere scanninger handler ikke om de gamle standardene—det handler om hva som kommer neste.

Post-kvantekryptografi begynner å dukke opp i praksis. Det er ikke utbredt ennå, men vi ser de første forsiktige implementasjonene mens bransjen forbereder seg på en fremtid der kvantedatamaskiner kan knekke dagens kryptering. Dette er sikkerhetsverdenen som gjør det den er best på: forbereder seg på trusler før de materialiserer seg.

Cross-origin isolation, ECH (Encrypted Client Hello), og andre personvern-bevarende teknologier er på samme måte i tidlig adoptasjonsfase. Dette er byggesteinene for et web som er mer motstandsdyktig mot overvåking og manipulasjon.

Cookie-sikkerhet har fått fornyet oppmerksomhet også. Med tredjeparts-cookies endelig på vei bort på tvers av nettlesere (etter år med utsettelser), har first-party cookie-hygiene blitt viktigere enn noen gang. Sikre, SameSite-bevisste cookies var ikke en prioritet for mange utviklere for fem år siden. I dag er det grunnutstyr.

Hva dette betyr for prosjektene dine

Hvis du lanserer en ny side eller applikasjon i dag, er meldingen fra et tiår med data klar: behandle sikkerhet som baseline-infrastruktur, ikke som ettertanke. HTTPS er ikke valgfritt. Sikkerhets-headers er ikke valgfritt. Verktøyene har modnet, kostnadene har sunket, og konsekvensene av å hoppe over disse grunnleggende tingene har økt.

Men ikke stopp der. Frontlinjen til webbsikkerhet har flyttet seg. Følg med på:

  • Post-kvante-beredskap: Begynn å tenke på hvordan infrastrukturen din må utvikle seg
  • Cookie-migrering: Revider cookie-bruken din før tredjeparts-restriksjoner rammer
  • Personvern-bevarende alternativer: ECH og lignende teknologier kommer til en nettleser nær deg

Nettet i 2026 er umåtelig mye sikrere enn i 2016. Men sikkerhet er ikke et reisemål—det er en pågående samtale mellom forsvarere og angripere, standardiseringsorganer og nettleser-leverandører, utviklere og brukere. Det faktum at vi fortsatt har den samtalen, fortsatt måler, fortsatt forbedrer? Det er den virkelige seieren fra det siste tiåret.

Skål for de neste ti årene med å gjøre nettet sikrere—én header, én sertifikat, og én velkonfigurert server om gangen.


Trenger hjelp med sikkerhetsgrunnlaget? NameOcean tilbyr gratis SSL-sertifikater, automatisert DNS-håndtering og hosting-miljøer konfigurert for moderne sikkerhetsstandarder. For beste tidspunkt å sikre siden din var for et tiår siden. Det nest beste tidspunktet er nå.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NL HU IT FR ES DE DA ZH-HANS EN