HTTPS och ranking handlar om att kryptering är en svag men verklig rankingsignal hos Google, samtidigt som den är en hygienfaktor för säkerhet och förtroende som du i praktiken inte kan vara utan. Tänk dig att du jämför två nästan identiska butikssidor i sökresultatet. Den ena börjar med https och visar ett hänglås i Chrome, den andra flaggas som Ej säker. Vilken klickar du på? Google resonerar ungefär likadant, men signalen väger lätt: den avgör sällan en placering på egen hand, och fungerar snarare som en knuff i rätt riktning när allt annat är lika.
Många hör ordet rankingsignal och tror att HTTPS är ett knep som lyfter sajten flera steg. Så är det inte. Den verkliga vinsten ligger i att du slipper förlora besökare på en skrämmande säkerhetsvarning, något som direkt påverkar din click-through rate i sökresultatet, att data skyddas på vägen mellan besökaren och servern, och att ett baskrav uppfylls som alla seriösa sajter på World Wide Web förväntas klara i dag. Resten av den här texten reder ut vad signalen faktiskt väger, var den kommer ifrån, och vad som är värt att lägga tid på i praktiken.
★ SNABBVERSIONEN
- HTTPS är en bekräftad rankingsignal hos Google, men en svag sådan: enligt Google själva påverkade den vid lanseringen 2014 under 1 procent av globala sökningar.
- Den största nyttan är förtroende och säkerhet, inte en direkt rankingklättring i sökresultatet.
- Kryptering sker via TLS (tidigare kallat SSL, Secure Sockets Layer) och kräver ett giltigt certifikat, ofta gratis via Let’s Encrypt.
- Ett byte från HTTP till HTTPS bevarar din ranking om du sätter korrekta 301-omdirigeringar och uppdaterar interna länkar, sitemap och kanoniska taggar.
- Blandat innehåll är den vanligaste orsaken till att Chrome ändå visar Ej säker trots att sidan i grunden körs över HTTPS.
Vad HTTPS faktiskt är
HTTPS står för Hypertext Transfer Protocol Secure och är den krypterade versionen av det vanliga webbprotokollet HTTP, Hypertext Transfer Protocol. När din webbläsare hämtar en sida över HTTP skickas allt i klartext: vilken sida du tittar på, vad du skriver i formulär, vilka cookies som följer med. Vem som helst som kan avlyssna trafiken, till exempel på ett öppet wifi på ett kafé i Stockholm eller en flygplats i Europa, kan i teorin läsa och i värsta fall ändra den.
HTTPS löser det genom att lägga ett krypterat lager mellan webbläsaren och servern. Det lagret heter TLS, Transport Layer Security, och är efterföljaren till det äldre SSL, Secure Sockets Layer (ibland skrivet Secure Socket Layer i äldre dokumentation). Många säger fortfarande SSL-certifikat av gammal vana, men tekniken som faktiskt skyddar din trafik heter numera TLS. Resultatet är att data inte kan läsas eller manipuleras på vägen mellan besökaren och din sajt, vilket är hela poängen med säkerheten, den Sicherheit som tyska sajter brukar kalla det och som bygger Vertrauen, alltså förtroende, hos kunden.
För besökaren märks skillnaden på två konkreta sätt:
- Adressen i fältet börjar med https i stället för http.
- Chrome slutar visa den otrevliga texten Ej säker bredvid adressen, och visar i stället ett neutralt eller låst läge.
Den lilla detaljen betyder mer än man tror för förtroendet, särskilt på sidor där någon ska lämna ifrån sig en e-postadress eller ett kortnummer. Det är skillnaden mellan en besökare som slutför ett köp och en som backar ur i sista stund, och därför hänger trygghet och konverteringsoptimering tätt ihop.
Certifikatet som gör det möjligt
För att köra HTTPS behöver din sajt ett certifikat. Det är en digital fil som bevisar att domänen är den den utger sig för att vara och som innehåller nycklarna för krypteringen. Förr var certifikat något du betalade för hos leverantörer som Symantec, ofta med extra fält som SAN för att täcka flera domännamn under samma certifikat. I dag erbjuder de flesta webbhotell gratis certifikat via Let’s Encrypt, och på en typisk WordPress-installation är det en knapptryckning eller redan påslaget från start, något vi går djupare in på i guiden om SEO för WordPress.
Ett certifikat kan validera sig självt på olika nivåer, och det är värt att känna till skillnaden:
- Domänvaliderat (DV): bekräftar bara att du kontrollerar domänen. Vanligast och gratis.
- Organisationsvaliderat (OV): bekräftar även företaget bakom domänen.
- Utökad validering (EV): striktast kontroll, mest relevant för stora aktörer och banker.
För de flesta små och medelstora företag räcker ett vanligt domänvaliderat certifikat. Det ger exakt samma kryptering och exakt samma rankingsignal som ett dyrt alternativ. Skillnaden ligger i kontrollnivån, inte i säkerheten för besökaren eller i hur Google värderar sidan.
Skillnaden mellan HTTP och HTTPS i klartext
Det enklaste sättet att förstå värdet av kryptering är att jämföra de två protokollen sida vid sida. Båda gör samma grundjobb, att flytta sidor och data mellan server och webbläsare, men det ena gör det öppet och det andra inlindat i ett skyddande lager.
HTTP föddes med själva webben och var aldrig byggt med säkerhet i åtanke. Det fungerar utmärkt så länge ingen lyssnar, men på dagens internet, med öppna nätverk och annonsnätverk som vill veta allt, räcker det inte. HTTPS är samma protokoll med TLS ovanpå, och övergången från HTTP till HTTPS har gått från en nördig finess till ett tyst baskrav på bara några år.
Kort sammanfattat skiljer de sig på följande punkter:
- HTTP skickar allt i klartext, HTTPS krypterar trafiken med TLS.
- HTTP saknar certifikat, HTTPS kräver ett giltigt certifikat som styrker domänens identitet.
- HTTP flaggas som Ej säker i moderna webbläsare, HTTPS visar ett neutralt eller låst läge.
- HTTP fungerar inte med moderna protokoll som HTTP/2 och HTTP/3, HTTPS gör det.
- HTTP är en svag nackdel för rankingen, HTTPS är den förväntade utgångspunkten.
Den sista punkten är värd att stanna vid. Det är inte så att HTTPS ger dig en bonus jämfört med en genomsnittlig sajt, utan snarare att HTTP drar ifrån jämfört med alla andra som redan krypterar. Signalen är symmetrisk på papperet men asymmetrisk i upplevd effekt.
Varför HTTPS och ranking hänger ihop
Google bekräftade 2014 att HTTPS är en rankingsignal. De var ovanligt tydliga med att det rörde sig om en lätt signal som påverkade under 1 procent av globala sökningar, och att de ville ge sajtägare tid att ställa om. Sedan dess har webben i stort gått över till kryptering, och i dag är HTTPS snarare ett tyst baskrav än en fördel man sticker ut med.
Det betyder att kryptering inte ska ses som ett verktyg för att klättra. Tänk i stället tvärtom: frånvaron av HTTPS är en nackdel. En HTTP-sida riskerar att flaggas som Ej säker, vilket skrämmer bort besökare och sänker konverteringen långt innan någon rankingeffekt ens blir mätbar. Den indirekta skadan på beteendesignaler, alltså hur folk faktiskt beter sig när de landar på sidan, kan vara större än den direkta rankingsignalen.
Det finns också ett tekniskt skäl. HTTPS är ett krav för moderna protokoll som HTTP/2 och HTTP/3, som ofta laddar sidor snabbare, vilket gör att kryptering och arbetet med sidhastighet går hand i hand. Sidhastighet är i sin tur en del av Googles upplevelsesignaler. Så även om HTTPS i sig väger lätt, öppnar det dörren till andra förbättringar som tillsammans gör mer nytta. Och i takt med att fler söksvar levereras via Google AI Overviews, där maskinen plockar ihop ett svar från flera källor, är det rimligt att anta att en säker och välskött sajt fortsätter att vara en grundförutsättning snarare än en konkurrensfördel.
En enskild rankingsignal avgör sällan något. HTTPS är en av många pusselbitar, och poängen är att inte ha en bit som saknas.
NINJA-FAKTA
När Google annonserade HTTPS som signal 2014 sa de uttryckligen att de kunde komma att stärka den över tid för att uppmuntra fler att kryptera. Den stora övergången har sedan dess skett, så i dag handlar det mindre om en bonus och mer om att inte halka efter resten av webben.
Hur signalen förhåller sig till andra
Det är lätt att överskatta en enskild faktor. Här är hur HTTPS placerar sig bland de signaler en ny sajtägare brukar fundera på:
| Signal | Tyngd | Kommentar |
|---|---|---|
| Innehållets relevans | Hög | Avgör i regel placeringen |
| Inkommande länkar | Hög | Förtroende från andra sajter |
| Sökintention och kvalitet | Hög | Möter sidan behovet? |
| Sidhastighet | Medel | Del av upplevelsesignaler |
| Mobilanpassning | Medel | Förväntat baskrav |
| HTTPS och ranking | Låg | Hygienfaktor och tie-break |
| Korrekt indexering | Hög | Syns sidan alls? |
| Intern länkstruktur | Medel | Sprider auktoritet |
Poängen med tabellen är inte att HTTPS är oviktigt, utan att din tid bör läggas där den ger mest. Har du redan kryptering på plats är nästa steg nästan alltid innehåll och relevans, vilket en genomtänkt innehållsstrategi hjälper dig att prioritera, inte mer certifikatpyssel. Det är en av de mest missförstådda sakerna inom SEO: nybörjare lägger ofta dagar på det som väger en låg signal och timmar på det som väger en hög.
Vanliga missförstånd om HTTPS och ranking
Få SEO-ämnen omges av så mycket halvsanningar som det här. Några myter är särskilt seglivade, och de dyker upp om och om igen i forum, i Slack-kanaler för marknadsförare och i samtal med kunder. Det är värt att avliva dem en och en, för var och en leder till bortkastad tid eller felprioriterat arbete.
Den första myten är att HTTPS ensamt lyfter dig i Google. Det gör det inte. Signalen är för svag för att flytta dig förbi en konkurrent med bättre innehåll, fler relevanta backlinks och en sida som faktiskt svarar på frågan. Om du bytte till HTTPS och ingenting hände i sökresultatet är det helt väntat, och det är inte ett tecken på att något gått fel. Det är precis så en svag signal beter sig: den syns i mängden, inte i det enskilda fallet.
Den andra myten är att ett dyrt certifikat ger bättre ranking än ett gratis. Google bryr sig om att anslutningen är krypterad, inte vad du betalade eller vilken utfärdare som signerat. Ett gratis Let’s Encrypt-certifikat och ett betalt SSL-certifikat ger identisk rankingsignal. Den enda skillnaden ligger i validering och eventuell support, inte i hur sökmotorn värderar sidan.
Den tredje myten är att HTTPS gör sajten långsam. Den initiala handskakningen tar en gnutta extra tid, men på moderna servrar är det försumbart, och de snabbare protokoll som HTTPS låser upp väger mer än väl upp det. En korrekt uppsatt HTTPS-sida är i regel lika snabb eller snabbare än sin okrypterade motsvarighet.
Här är de tre myterna och vad som faktiskt gäller:
- Myt: HTTPS lyfter rankingen flera steg. Verklighet: signalen väger under 1 procent och avgör sällan på egen hand.
- Myt: ett dyrt certifikat rankar bättre. Verklighet: gratis och betalt ger samma signal.
- Myt: kryptering bromsar sidan. Verklighet: effekten är försumbar och ofta positiv via HTTP/2.
VANLIG MISS
Att bara installera ett certifikat och tro att jobbet är klart. Om du inte också pekar om alla gamla HTTP-adresser med 301-omdirigeringar kan Google fortsätta indexera båda versionerna, vilket splittrar ditt rankingvärde och skapar dubbletter av samma innehåll.
Blandat innehåll: när hänglåset försvinner
En av de vanligaste fallgroparna är blandat innehåll, på engelska mixed content. Sidan laddas över HTTPS, men enskilda resurser, en bild, ett skript, en stilmall, hämtas fortfarande över HTTP. Då tappar Chrome förtroendet för hela sidan och visar Ej säker, trots att du gjort det mesta rätt. Det är ett av de mest frustrerande problemen just för att allt ser ut att fungera, ändå försvinner hänglåset.
Symtomen är lätta att känna igen:
- Hänglåset saknas eller visar en varningstriangel.
- Vissa bilder eller funktioner laddar inte alls.
- Konsolen i webbläsaren klagar på mixed content.
- Sidan ser halvtrasig ut på vissa enheter men inte andra.
Lösningen är att hitta varje resurs som laddas över http och byta den till https. På en liten sajt kan du göra det för hand genom att söka i koden. På en större hjälper ett verktyg som Screaming Frog dig att skanna alla URLs och peka ut exakt var de osäkra länkarna sitter. Vanliga ställen att leta på är:
- Hårdkodade bildadresser i inlägg och sidor.
- Inbäddade skript från externa tjänster.
- Stilmallar och teckensnitt som laddas över http.
- Gamla länkar i widgetar, sidfot och menyer.
När alla osäkra resurser är utbytta återvänder hänglåset och webbläsaren litar på sidan igen. Det är ett pillgöra på äldre sajter, men en engångsinsats.
Så gör du i praktiken: byt eller städa upp HTTPS
Ett byte till HTTPS, eller en städning av en sajt som redan har det, följer en ganska förutsägbar ordning. Här är stegen i den följd de bör tas:
- Skaffa och installera ett giltigt certifikat, oftast gratis via webbhotellet eller Let’s Encrypt.
- Tvinga all trafik till HTTPS och peka om varje HTTP-adress till sin https-motsvarighet med en 301-omdirigering.
- Uppdatera interna länkar, kanoniska taggar och din sitemap så att de pekar på https-versionen.
- Lägg till sajten som ny egendom i Search Console och bevaka indexeringen i veckorna efter bytet.
Runt de stegen finns en del återkommande detaljarbete. Använd checklistan nedan när du vill vara säker på att inget glömts.
Checklista för HTTPS
Efter bytet är det klokt att hålla ett öga på sajten i några veckor. Indexeringen tar lite tid att hinna ikapp, och det är nu eventuella missade omdirigeringar dyker upp. Hur du verifierar den nya egendomen och läser av indexeringen går vi igenom i guiden om Google Search Console, och en återkommande genomsökning med Screaming Frog gör resten av jobbet utan att kosta något. Vill du dubbelkolla att själva certifikatet är korrekt konfigurerat finns gratisverktyg som SSL Labs, som testar din anslutning och pekar ut svaga inställningar.
Bra kontra dålig övergång
Det går att göra samma flytt på rätt och fel sätt. Skillnaden avgör om du behåller din ranking eller tappar den.
Bra övergång
- Varje gammal adress har en egen 301 till rätt https-sida.
- Omdirigeringen går i ett enda steg.
- Sitemap och kanoniska taggar uppdateras samtidigt.
- Indexeringen bevakas i Search Console efteråt.
- Blandat innehåll åtgärdas innan lansering.
Dålig övergång
- Bara startsidan dirigeras om, resten lämnas vind för våg.
- Omdirigeringar går i flera steg eller i loopar.
- Gamla http-länkar ligger kvar internt.
- Sitemap pekar fortfarande på http.
- Blandat innehåll lämnas kvar och utlöser varningar.
NINJA-FAKTA
En 301-omdirigering signalerar permanent flytt och för i regel över rankingvärdet. En 302 signalerar tillfällig flytt och behåller värdet på den gamla adressen. Vid ett HTTPS-byte vill du nästan alltid ha 301, inte 302.
Verktyg som hjälper dig kontrollera
Du behöver inte gissa om HTTPS är rätt uppsatt. Det finns gratisverktyg, Free Tools som SEOs lutar sig mot dagligen, som gör jobbet åt dig och pekar ut exakt vad som behöver fixas. Några värda att känna till:
- Search Console: bevakar indexering och rapporterar fel efter ett byte.
- Screaming Frog: genomsöker hela sajten och hittar blandat innehåll och felaktiga omdirigeringar.
- SSL Labs: testar och betygsätter din TLS-konfiguration.
- Webbläsarens egen konsol i Chrome: visar mixed content direkt på sidan.
Poängen är inte att använda alla samtidigt, utan att veta att de finns. En sökning, en genomsökning och en blick i konsolen täcker det mesta av det som brukar gå fel.
Vad du faktiskt bör prioritera
Om du tar med dig en enda sak: HTTPS är ett baskrav du bockar av en gång, inte en hävstång du finslipar om och om igen. När certifikatet sitter, omdirigeringarna fungerar och inget blandat innehåll skvallrar i konsolen, är HTTPS-delen av din SEO klar. Då har du gjort allt en rankingsignal av den här typen kan ge dig, och det är dags att rikta blicken mot det som faktiskt flyttar placeringar.
Den tid du har över gör mer nytta på annat håll, och det är ingen slump att de tunga signalerna i tabellen längre upp handlar om innehåll och relevans. Det är där matchen avgörs:
- Skriv innehåll som faktiskt svarar på vad besökaren söker.
- Se till att sidan laddar snabbt och fungerar på mobil, eftersom de flesta av dina besökare kommer därifrån.
- Bygg en logisk struktur så att både människor och Google hittar rätt.
- Skaffa länkar och omnämnanden från sajter som dina kunder redan litar på.
Det är där placeringarna avgörs, medan HTTPS tyst gör sitt i bakgrunden. För dig som driver en lokal verksamhet och vill ringa in vilka fraser som lönar sig kan en konkurrentanalys visa var konkurrenterna redan är starka. En säker sajt rankar inte högre för att den är säker, men en osäker sajt får svårare att över huvud taget bli tagen på allvar, av både Google och besökare.
Är du osäker på var din sajt står i dag kan du börja brett. Tre snabba kontroller räcker långt:
- Kontrollera att adressen börjar med https på alla viktiga sidor.
- Se efter att hänglåset visas i Chrome utan varning.
- Gör en snabb genomsökning och bekräfta att inga gamla http-adresser ligger kvar.
Klarar du de tre sakerna har du redan den här pusselbiten på plats, och kan med gott samvete lägga fokus på innehållet i stället. HTTPS och ranking är, när allt kommer omkring, en fråga om hygien snarare än magi: gör det rätt en gång, glöm det sedan, och ägna energin åt det som verkligen rör nålen.
Vanliga frågor
Är HTTPS en rankingfaktor hos Google?
Ja, men en svag sådan. Google bekräftade redan 2014 att HTTPS är en rankingsignal, och beskrev den då som en lätt signal som påverkar mindre än en procent av globala sökningar. I praktiken betyder det att kryptering sällan avgör en placering på egen hand. Den fungerar mer som ett tie-break mellan annars likvärdiga sidor och som en hygienfaktor. Innehåll, relevans och länkar väger mycket tyngre. Se HTTPS som ett baskrav du bockar av, inte som ett knep för att klättra.
Vad är skillnaden mellan HTTP och HTTPS?
HTTP står för Hypertext Transfer Protocol och skickar data i klartext mellan webbläsaren och servern. HTTPS lägger till ett krypterat lager via TLS, tidigare kallat SSL, så att trafiken inte kan läsas eller manipuleras på vägen. För besökaren syns skillnaden genom att adressen börjar med https och att Chrome inte längre flaggar sidan som Ej säker. Tekniskt är det samma protokoll plus kryptering. För din SEO är HTTPS i dag standard som alla seriösa sajter förväntas ha.
Måste jag ha ett SSL-certifikat för att synas på Google?
Du behöver ett giltigt certifikat för att kunna köra HTTPS, och utan HTTPS riskerar du att besökare möts av varningar i Chrome. Google kan fortfarande indexera en HTTP-sida, men du tappar förtroende och en liten rankingfördel. De flesta webbhotell erbjuder gratis certifikat via Let's Encrypt, så kostnaden är sällan ett hinder. Tänk på certifikatet som en hygienfaktor: det avgör inte ensamt din placering, men frånvaron av det skadar både trovärdighet och konvertering.
Hur byter jag från HTTP till HTTPS utan att tappa ranking?
Installera certifikatet, peka om varje gammal HTTP-adress till sin HTTPS-motsvarighet med en 301-omdirigering, och uppdatera interna länkar, sitemap och kanoniska taggar så att de pekar på https-versionen. Lägg till den nya egendomen i Search Console och kontrollera att inga sidor blockeras. Med korrekta 301-redirects behåller du i regel ditt rankingvärde. Problem uppstår oftast när omdirigeringar saknas, går i flera steg eller leder till fel sida. Övervaka indexeringen i några veckor efter bytet.
Varför står det Ej säker i Chrome trots att jag har HTTPS?
Oftast beror det på så kallat blandat innehåll: själva sidan laddas över HTTPS, men enskilda bilder, skript eller stilmallar hämtas fortfarande över HTTP. Då tappar webbläsaren förtroendet för hela sidan. Sök igenom källkoden efter länkar som börjar med http och byt dem till https eller protokoll-relativa adresser. Ett verktyg som Screaming Frog hjälper dig hitta blandat innehåll i stor skala. Ibland beror varningen också på ett utgånget eller felkonfigurerat certifikat, vilket du ser direkt i webbläsaren.
Påverkar HTTPS hur snabbt min sida laddar?
Kryptering lägger till en liten initial fördröjning när anslutningen upprättas, men i praktiken är effekten försumbar på moderna servrar. HTTPS är dessutom ett krav för HTTP/2 och HTTP/3, protokoll som ofta gör sajten snabbare än gammal HTTP. Med andra ord brukar en korrekt uppsatt HTTPS-sida ladda lika snabbt eller snabbare än sin okrypterade motsvarighet. Om du upplever att sidan blivit långsammare efter ett byte är orsaken nästan alltid något annat, till exempel en omdirigeringskedja eller dåligt cachade certifikat.
Spelar det någon roll vilket SSL-certifikat jag väljer för rankingen?
Nej. Google bryr sig om att anslutningen är krypterad, inte om vilken utfärdare som signerat certifikatet eller vad det kostade. Ett gratis Let's Encrypt-certifikat ger samma rankingsignal som ett dyrt SSL-certifikat från en stor leverantör. Skillnaden mellan domänvaliderat, organisationsvaliderat och utökat ligger i hur mycket utfärdaren kontrollerat företaget bakom domänen, inte i krypteringsstyrkan. För de flesta små och medelstora sajter räcker ett vanligt domänvaliderat certifikat alldeles utmärkt, och det är dessutom oftast gratis.
VILL DU FÖRSTÅ MER?
Undrar du hur det funkar i praktiken för just din sajt? Hör av dig.