Hoppa till innehåll
CompliantHQ

Okrypterade formulär och ogiltiga certifikat — vad kräver GDPR?

GDPR säger inte ordagrant att din webbplats ska ha https. Men artikel 32 kräver tekniska åtgärder som motsvarar risken, och nämner kryptering som ett uttryckligt exempel på en sådan åtgärd. För ett formulär som skickar personuppgifter är transportkryptering i dag en lägsta-förväntan — ett formulär som postar över okrypterad http kan avlyssnas eller manipuleras på vägen. Och ett certifikat som gått ut eller är utfärdat för fel domän skyddar inte mycket bättre: besökaren kan inte längre lita på vem den pratar med.

GDPR art. 32

Vad säger lagen?

Enligt GDPR artikel 32 ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för en säkerhetsnivå som är lämplig i förhållande till risken. Kravet är riskbaserat och teknikneutralt — ingen fast checklista — men kryptering nämns uttryckligen i artikeln som ett exempel på en sådan åtgärd.

För webbformulär som skickar personuppgifter landar det i en tydlig lägsta-förväntan: transportkryptering via https/TLS. Ett kontaktformulär skickar typiskt namn, e-postadress och fritext — personuppgifter — och utan TLS går de i klartext över nätet. Ju känsligare uppgifter formuläret hanterar, desto högre blir kravet, med inloggningsuppgifter i toppen.

Okrypterade formulär — vad kan gå fel?

Ett formulär som postar över http skickar innehållet oskyddat: det kan avlyssnas eller manipuleras på vägen mellan besökaren och servern. Det handlar alltså om både konfidentialitet — någon läser uppgifterna — och integritet — någon ändrar dem under transporten.

Inloggningsformulär är särskilt känsliga: ett lösenord i klartext över http exponerar hela kontot, och allt som ligger bakom inloggningen.

Den luriga varianten är webbplatsen som ser krypterad ut men inte är det fullt ut: sidan ligger på https, men formulärets mål (action) pekar på en http-adress — eller sidan går fortfarande att nå via http utan omdirigering. Hänglåset i adressfältet säger inget om vart formuläret faktiskt skickar uppgifterna.

Ogiltiga certifikat — utgånget, självsignerat eller fel domän

Certifikatet är det som intygar vem besökaren faktiskt pratar med. Ett certifikat som gått ut, är självsignerat eller utfärdat för fel domännamn betyder att förbindelsens äkthet inte kan garanteras — besökaren möts av säkerhetsvarningar, och moderna webbläsare blockerar ofta sidan helt.

En nyansering: trafiken krypteras fortfarande av TLS även med ett ogiltigt certifikat. Problemet är att besökaren inte kan veta vem trafiken krypteras mot — en förbindelse vars motpart inte går att verifiera kan inte garanteras vara skyddad mot manipulation. Och rent praktiskt är en blockerad sida en stängd dörr: besökaren som möts av en varningsskärm vänder.

Vanliga brister vi ser

  • Webbplatsen ligger på https, men ett formulär postar till en http-adress — krypteringen på sidan hjälper inte det formulär som skickas okrypterat.
  • Webbplatsen går fortfarande att nå över http utan omdirigering, så formulären kan fyllas i och skickas helt oskyddat.
  • Ett inloggningsformulär ligger på en äldre sida eller subdomän som aldrig fick https — lösenorden går i klartext.
  • Certifikatet har gått ut — ofta för att förnyelsen sköttes manuellt och glömdes bort.
  • Certifikatet täcker fel namn: det gäller www.exempel.se men inte exempel.se, eller tvärtom.

Så testar CompliantHQ det här

Skannern kontrollerar deterministiskt att formulär som samlar in personuppgifter eller inloggningsuppgifter skickas krypterat — ett formulär vars mål är en http-adress flaggas, med formuläret och dess mål utpekade så att du ser exakt var bristen sitter.

Parallellt kontrolleras webbplatsens certifikat: att det inte är utgånget, inte självsignerat och utfärdat för rätt domännamn. Båda kontrollerna är deterministiska — inga bedömningar, bara observerade fakta om anslutningen.

Kontrollerna ingår redan i provperioden.

Så åtgärdar du

  • Skaffa ett giltigt certifikat från en betrodd utfärdare — Let's Encrypt är kostnadsfritt och räcker gott.
  • Servera hela webbplatsen över https och tvinga omdirigering från http, så att ingen sida — och inget formulär — går att nå okrypterat.
  • Kontrollera formulärens mål (action): de ska peka på https-adresser, även när själva sidan redan ligger på https.
  • Se till att certifikatet täcker exakt det domännamn besökarna använder — inklusive både med och utan www.
  • Automatisera certifikatförnyelsen så att det aldrig hinner gå ut.

Det här ingår i granskningen

  • Att formulär med personuppgifter eller inloggning skickas krypterat (https) — okrypterade formulär kan avlyssnas på vägen.
  • Att webbplatsens säkerhetscertifikat är giltigt — inte utgånget, självsignerat eller utfärdat för fel adress.

Vanliga frågor

Måste min webbplats ha https enligt GDPR?

GDPR nämner inte https ordagrant, men artikel 32 kräver säkerhetsåtgärder som motsvarar risken och pekar uttryckligen ut kryptering som exempel. För formulär som skickar personuppgifter är transportkryptering i dag en lägsta-förväntan.

Räknas uppgifterna i ett kontaktformulär verkligen som personuppgifter?

Ja — namn, e-postadress och ofta fritexten i meddelandet är personuppgifter. Skickas formuläret över http går de i klartext och kan avlyssnas på vägen.

Krypteras inte trafiken ändå om certifikatet bara är utgånget?

Jo, TLS krypterar fortfarande — men ett ogiltigt certifikat betyder att äktheten inte kan garanteras: besökaren kan inte veta vem trafiken krypteras mot. Webbläsarna varnar därför, och blockerar ofta sidan helt.

Räcker ett gratis certifikat från Let's Encrypt?

Ja. Det viktiga är att certifikatet är giltigt, utfärdat av en betrodd utfärdare och täcker rätt domännamn — inte vad det kostar. Automatisera förnyelsen, så hinner det aldrig gå ut.

Vill du se vad vi hittar på din webbplats?

Kör en gratis skanning — alla fyra moduler ingår i 30 dagar, inget betalkort krävs.

Starta gratis skanningSe priser

Fler fördjupningar