Ett decennium med webbsäkerhet – vad vi lärt oss och var vi fortfarande misslyckas
Tio år med webbsäkerhet: Lärdomarna vi dragit och var vi fortfarande brister
Webben år 2016 känns som en annan era. Instagram hade precis lanserat Stories. Pokémon Go var den hetaste appen. Och om du hade säkrat din webbplats med HTTPS tillhörde du en liten skara – ofta ifrågasatta som överdrivet försiktiga.
Ett decennium senare har landskapet förändrats så dramatiskt att frågan inte längre är "borde man använda HTTPS?" utan "varför i hela fransen skulle man inte det?" Men här är grejen med framsteg: de ställer hela tiden nya krav.
Siffrorna som berättar historien
Ser man på de största webbplatserna de senaste tio åren är det mesta verkligen positivt:
- HTTPS-användning: Från cirka 6 procent av toppsajterna 2015 till över 65 procent idag
- HSTS-rubriker: En 22-faldig ökning från 11 000 sajter till 252 000
- Content Security Policy (CSP): En enorm 125-faldig tillväxt från 1 365 till 170 000 sajter
Det här är inte bara fina siffror för att pryda statistiken. När Chrome började markera sajter utan HTTPS som "Ej säker" 2017 blev det ett samlat ramaskri. Men pressen fungerade. Idag är du, om du kör en sajt utan HTTPS, allt oftare undantaget snarare än regeln – särskilt högt upp i rankingarna där trafik och rykte spelar roll.
Den goda nyheten: Grundläggande säkerhet har blivit... grundläggande
Det verkligt positiva med ett decennium av data är att grunden har förändrats i grunden. För tio år sedan användes säkerhetsrubriker som X-Content-Type-Options och X-Frame-Options av färre än 5 procent av toppsajterna. Idag ligger de runt 30–35 procent.
Det spelar roll för att det här inte är flashiga funktioner. Ingen skriver blogginlägg om X-Frame-Options (ja, det gör de egentligen inte). Det är webbsäkerhetens rörsystem – det tråkiga men nödvändiga som förhindrar clickjacking, MIME-type-sniffning och annat otrevligt. Att det blivit standard visar hur långt branschen kommit i synen på säkerhet som infrastruktur, inte som något man kan skippa.
CSP förtjänar särskild uppmärksamhet. Att se den växa från 1 365 sajter till över 170 000 är som att följa ett litet teknikföretag från garageperiod till branschstandard. CSP är genuint svårt att implementera rätt – det kräver att man förstår sin sajt:s innehållskällor, tredjepartsscripts, inline-kodmönster med mera. Att så många team lagt ner arbetet på att få det korrekt visar att branschen mognat i sitt förhållningssätt till försvar i djupet.
Den dåliga nyheten: Vi har planar ut (och ibland backar vi)
Här blir optimismen mer komplicerad. Tittar man på kurvan för HTTPS-användning de senaste åren har den flackat av betydligt. Vi har tagit de "lätta" vinsterna – sajter som enkelt kunde byta, bloggar som använde Let's Encrypt, företag som förstod risken för sitt rykte att markeras som osäkra.
Vad som återstår är de envisa fallen. Legacy-applikationer som skulle kräva omfattande refaktorisering. Interna verktyg som ingen vill röra. Sajter ägda av organisationer där säkerhet fortfarande är någon annans problem. Det här är ingen kritik mot webbens framsteg – det är bara verkligheten att de sista 10 procenten av varje adoptionskurva alltid är svårast.
Ännu mer oroande är upp- och nedgången för vissa skydd. Extended Validation-certifikat (EV), som en gång såldes som den gyllene standarden för förtroendeindikatorer (minns du den gröna listen i webbläsaren?), har i praktiken kollapsat. Webbläsartillverkarna tog bort det särskilda gränssnitt som gjorde EV-certifikat synliga för användarna, och utan den differentieringen finns inget affärsfall för att betala premiumpriser. Från 15 600 som mest ner till strax över 4 000 år 2026. Det är en fascinerande fallstudie i hur användarupplevelsen formar säkerhetsekonomin.
Nya aktörer: Säkerhet 2026 och framåt
Den riktigt intressanta datan från nyare crawls handlar inte om de gamla standarderna – det är vad som kommer härnäst.
Post-quantum-kryptografi börjar dyka upp i verkligheten. Det är inte utbrett ännu, men vi ser de första försiktiga implementationerna när branschen förbereder sig för en framtid där kvantdatorer potentiellt kan knäcka dagens kryptering. Det här är säkerhetsvärlden som gör det den är bäst på: förbereder sig för hot innan de materialiseras.
Cross-origin isolation, ECH (Encrypted Client Hello) och andra integritetsbevarande teknologier befinner sig同样 i ett tidigt adoptionsstadium. Det här är byggstenarna för en webb som är mer motståndskraftig mot övervakning och manipulering.
Cookiesäkerhet har fått förnyad uppmärksamhet också. Med tredjepartscookies äntligen på väg att fasas ut i webbläsarna (efter år av förseningar) har förstapartscookie-hygien blivit viktigare än någonsin. Säkra, SameSite-medvetna cookies var inte en prioritet för många utvecklare för fem år sedan. Idag är de grunden.
Vad det betyder för dina projekt
Om du lanserar en ny sajt eller applikation idag är budskapet från ett decennium av data tydligt: behandla säkerhet som grundläggande infrastruktur, inte som en eftertanke. HTTPS är inte valfritt. Säkerhetsrubriker är inte valfria. Verktygen har mognat, kostnaderna har sjunkit och konsekvenserna av att skippa grunderna har ökat.
Men stanna inte där. Frontlinjen för webbsäkerhet har flyttats. Håll koll på:
- Post-quantum-beredskap: Börja fundera på hur din infrastruktur behöver utvecklas
- Cookie-migrering: Granska din cookieanvändning innan tredjepartsbegränsningarna slår till
- Integritetsbevarande alternativ: ECH och liknande teknologier kommer till en webbläsare nära dig
Webben 2026 är oändligt mycket säkrare än 2016. Men säkerhet är ingen destination – det är ett ständigt samtal mellan försvarare och angripare, standardiseringsorgan och webbläsartillverkare, utvecklare och användare. Att vi fortfarande har det samtalet, fortfarande mäter, fortfarande förbättrar? Det är den verkliga vinsten från det senaste decenniet.
Skål för ytterligare tio år av att göra webben säkrare – en rubrik, ett certifikat och en välkonfigurerad server i taget.
Behöver du hjälp med säkerhetsgrunderna? NameOcean erbjuder gratis SSL-certifikat, automatiserad DNS-hantering och hostingmiljöer konfigurerade för moderna säkerhetsstandarder. För den bästa tiden att säkra din sajt var för ett decennium sedan. Den näst bästa tiden är nu.