Kort fortalt: Strict-Transport-Security fortæller browseren: brug HTTPS direkte næste gang, uden først at ramme http:// og få et 301. Det er et sikkerhedsværktøj - og det påvirker også hvilke URL’er der testes og hvordan gentagne besøg starter.
Headeren i korte træk
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload- max-age - hvor mange sekunder politikken gælder.
- includeSubDomains - underdomæner omfattes; kraftfuldt, men farligt hvis interne miljøer ikke er HTTPS-klar.
- preload - I kan ansøge om optagelse i browseres preload-lister; kræver vedligehold og overholdelse af krav - ikke påkrævet for basal HSTS.
Performance-vinkel
Første besøg kan stadig være over ren HTTP hvis brugeren manuelt skriver http:// eller følger et gammelt link. Efter HSTS har slået til, kan I eliminere et round-trip til omdirigering på efterfølgende besøg fra samme browser - browseren opgraderer internt til HTTPS.
Det er ikke en erstatning for korrekt 301 fra HTTP til HTTPS på serveren - men det forstærker vanen og reducerer eksponering for nedgraderingsangreb.
Typiske faldgruber
- For høj max-age mens blandet indhold eller cert-fejl stadig findes → brugere låses ved fejl indtil tid udløber eller problemet er løst.
- includeSubDomains på et domæne hvor interne eller staging-værter kun kører HTTP → uventede nedbrud.
- At tro HSTS “gør siden hurtig” alene - I skal stadig optimere TTFB, LCP, scripts og medier.
Forhold til caching
HSTS er en sikkerhedspolitik i browseren - ikke det samme som Cache-Control for dokumenter og assets. Begge er vigtige, men løser forskellige problemer.
Relaterede begreber
- HTTPS og redirects - sammen med korrekt canonical-praksis
- Cache-Control
- TTFB - stadig relevant for selve HTTPS-svarets hastighed
FAQ
Er HSTS et SEO-krav?
Google forventer HTTPS. HSTS er et sikkerhedsbest practice og kan reducere unødige HTTP→HTTPS-runder for returnerende brugere, men det er ikke en separat ranking-faktor i sig selv.
Kan jeg fjerne HSTS igen?
Browsere husker politikken indtil max-age udløber. Ved preload er der ekstra kompleksitet. Planlæg derfor certifikater, blandet indhold og subdomæner før I sætter aggressive flag.
Hvad sker der hvis certifikatet fejler mens HSTS er aktiv?
Brugeren kan blive blokeret fra at omgå advarslen som ved almindelig HTTP - det er meningen med HSTS. Derfor skal staging og drift være på plads før lange max-age-værdier.
Skal jeg bruge preload?
Kun hvis I forstår vedligehold og krav fra browser-listen. Basal HSTS på produktion giver værdi uden preload; preload er et ekstra skridt for bred distribution af politikken.
Næste skridt fra begreb til handling
Guides og blogindlæg der matcher begrebets emne - ud fra fælles tags og sidens fokus.
Brug Transfer-Encoding (chunked) til progressiv rendering: hurtigere første visning
Lær at finde ud af om din server eller reverse proxy buffer HTML-svar, og få streaming (chunked) til at flytte første visning og LCP i den rigtige retning.
Gør hero til LCP: sådan ændrer du struktur, CSS og prioritering
Hvis LCP bliver en tilfældig paragraf i stedet for hero, får du både dårligere tal og en måling der ikke matcher brugerens første indtryk. Her er en konkret metode til at få hero (H1/billede) til at blive LCP – uden at snyde.
Få edge cache-hit på HTML: undgå cookies, forkert Vary og dårlige cache keys
Mange sites har CDN, men får stadig høj TTFB fordi HTML ikke caches. Lær et praktisk workflow til at få cache-hit på offentlige sider uden at servere forkert indhold.
Vary-header og caching: undgå forkert indhold og lav cache-hit-rate
Vary bestemmer hvornår caches skal gemme flere varianter af samme URL (fx gzip vs brotli eller dansk vs engelsk). Lær de typiske fejl, og hvordan du tester med headers og curl.
Sådan prioriterer du hastighedsoptimering uden at spilde tid
Lær hvordan du prioriterer hastighedsoptimering rigtigt, så du starter med de ændringer der giver mest effekt på LCP, INP, CLS og TTFB.
Hvad er Core Web Vitals? LCP, INP og CLS forklaret enkelt
Få en praktisk forklaring på LCP, INP og CLS. Lær hvad Core Web Vitals måler, hvorfor de betyder noget, og hvordan du kommer i gang.
