Váš web stále neběží na zabezpečeném protokolu HTTPS? 5 důvodů, proč na něj přejít a jak

Historie protokolu HTTP a HTTPS

Na úvod si řekneme, co to je protokol HTTPS, jaké jsou jeho výhody oproti HTTP a proč by na vašem webu neměl chybět.

HTTPS je zkratka anglického HTTP Secure, což je rozšíření protokolu HTTP (Hypertext Transfer Protocol). Protokol HTTP představila v roce 1991 známá vědecká organizace CERN. Protokol zajišťuje přenos informací z různých serverů, na nichž jsou umístěny vaše oblíbené stránky, až k vám do vašeho počítače nebo mobilního zařízení.

Hlavní důvodem pro vznik zabezpečeného protokolu HTTPS bylo zvýšení bezpečnosti komunikace mezi serverem a návštěvníkem webu. Díky šifrování, které se u tohoto protokolu používá, je možné zamezit útoku metodou man-in-the-middle. Tento typ útoků se často využíval např. v kavárnách, kde je běžně dostupná nezabezpečená Wi-Fi síť. Útočník mohl takto získat hesla, která se při komunikaci na nezabezpečeném protokolu HTTP přenáší v nezašifrované podobě.

Na první pohled se může zdát, že přechod na zabezpečený protokol HTTPS je záležitost posledních několika let, a že se jedná o novou a nedostatečně otestovanou technologii. Opak je ale pravdou. Protokol HTTPS vytvořila firma Netscape Communications už v roce 1994 pro svůj dnes už mrtvý prohlížeč Netscape Navigator. Protokol se postupně vyvíjel a v podobě, jaké ho známe dnes, byl specifikován v roce 2000. Nejedná se tedy o žádnou novinku, přesto podle společnosti SSL Labs, která pravidelně kontroluje nejpopulárnější weby podle Alexy, byl 3. června 2018 zabezpečený protokol HTTPS aktivní na 59% webových stránkách, které prošly bezpečností kontrolou.

V minulosti samozřejmě existovalo mnoho překážek, které nasazování zabezpečeného protokolu HTTPS bránilo. Jako příklad můžeme uvést vysoké náklady na zakoupení certifikátu, který je při přechodu na HTTPS vyžadován a musí se každý rok za poplatek obnovovat. Další z překážek byla náročná implementace na straně poskytovatele webhostingu. Dlouho dobu tedy bylo HTTPS doménou webů, kde byl kladen velký důraz na bezpečnost. Typicky se jednalo o bankovní instituce nebo e-shopy.

Dnes ale již většina překážek zmizela a není důvod přechod na HTTPS dále odkládat. V roce 2016 vznikla certifikační autorita Let's Encrypt, která si dala za cíl odstranit složitou implantaci na straně webhostingů a poskytnout všem zájemcům certifikát zdarma. Tato příspěvková organizace působí dodnes a na konci roku 2017 ohlásila, že spravovala celkem 46 miliónů aktivních certifikátů. Certifikáty Let's Encrypt používáme i my a všem novým klientům ho na webu aktivujeme automaticky.

Zde je dobré podotknout, že certifikáty od autority Let's Encrypt patří do skupiny standardních SSL certifikátů. Jedná se o nejběžnější typ certifikátů, které jsou většinou zdarma nebo velmi levné. Jejich hlavní nevýhodou je, že zabezpečují pouze jednu doménu bez jejich subdomén. V tomto případě je třeba využít wildcard certifikáty, které zabezpečí vaši doménu včetně subdomén. Pro zabezpečení více domén je pak třeba využít multidoménové certifikáty. Na vrcholu stojí EV certifikáty, které k ikoně zámečku v adresním řádku prohlížeče přidají ještě název vaší firmy, což vašemu webu dodá větší důvěryhodnost:

Jejich nevýhodou je vysoká cena. Cena se může vyšplhat až na několik tisíc ročně.

Výhody a důvody k přechodu na protokol HTTPS

Bezpečnost

Jednu z největších výhod už jsme nakousli v odstavcích výše. Díky tomu, že protokol HTTPS využívá k přenosu dat šifrování a certifikát vydaný certifikační autoritou, poskytuje tak vcelku robustní ochranu před běžnými typy útoků. Vaši zákazníci se tedy nemusí bát o svá hesla.

GDPR

Od 25. května 2018 nabylo v platnost Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR). Jedná se o novou legislativu EU, která má za úkol zvýšit ochranu osobních dat občanů. Z GDPR vychází povinnost zajistit, aby nedocházelo při přenosu osobních citlivých údajů mezi uživatelem a vaším webem k jejich zneužití. Tento požadavek splňuje právě protokol HTTPS.

Rychlost

Při přechodu na protokol HTTPS dojde i ke zvýšení rychlosti vašeho webu o desítky procent. Je to možné díky protokolu HTTP/2, který umožňuje kompresi HTTP hlaviček. Dále umí zpracovávat více požadavků najednou, což je jeho hlavní výhoda oproti protokolu HTTP. Zde si můžete názorně vyzkoušet, k jak velkému zrychlení dochází. V praxi máme vyzkoušeno, že zrychlení je velmi znatelné a viditelné na první pohled.

Cena

Časy, kdy byl přechod na HTTPS časově a finančně náročný, jsou už naštěstí za námi. Díky již zmíněné službě Let's Encrypt je integrace na straně poskytovatele webhostingu jednoduchá a časově nenáročná. Většina poskytovatelů nabízí vygenerování certifikátu Let's Encrypt zdarma.

Odrazení návštěvníků webu

Google Chrome je oficiálně nejpoužívanějším prohlížečem jak na stolních počítačích, tak i na mobilních telefonech. Např. firma Marketshare Chromu za květen 2018 přisuzuje na desktopech podíl 61 %. Na mobilech je to skoro 63 %. Google se zároveň snaží provozovatele webu různými způsoby přinutit k přechodu na zabezpečený protokol HTTPS. Od 1. července 2018 přibyde ve verzi 68 k přidání slova: „Nezabezpečeno“ ke všem webům, který na HTTPS ještě nepřešly. Označení bude vypadat následovně:

Google spoléhá na to, že někteří uživatelé dostanou strach a web opustí. Jaký to má reálný dopad je samozřejmě otázka, proč ale dávat uživateli zbytečně důvod, který může skončit opuštěním vašeho webu?

Jak přejít na HTTPS

Samotný proces přechodu webu na HTTPS se odvíjí od komplexnosti webu. Převedení jednouché webové vizitky bude samozřejmě snazší než e-shop se stovkami produktů. Přesto si ale můžeme nastínit základní seznam úkonů, bez kterých se neobejdete.

Pořízení certifikátu a instalace

Jako první věc, se kterou musíte vždy začít, je získání certifikátu a jeho instalace na váš web. Opět zde doporučím certifikát od Let's Encrypt, který je vyzkoušený, má dobrou podporu od poskytovatelů webhostingu a je zdarma.

Zapnutí přesměrování

Dále je třeba na serveru nastavit přesměrování z HTTP na HTTPS. Nastavení se může trochu lišit podle poskytovatele webhostingu. My k tomuto účelu využíváme .htaccess soubor, kde nastavíme následující pravidlo:

Dále doporučujeme otestovat, zda-li se všechny URL adresy, které byly předtím na HTTP, správně přesměrovávají na HTTPS. K tomuto účelu je výborný nástroj Screaming Frog nebo z online nástrojů můžeme vřele doporučit https://httpsatus.io/.

Přidání webu do Google Search Console a Seznam Webmaster Tools

Po kontrole správnosti přesměrování na HTTPS je třeba o této změně informovat vyhledávače, aby indexovaly váš web s protokolem HTTPS. Pro Google k tomu složí nástroj Search Console. Jak přidat svůj web, můžete najít přímo v nápovědě od Googlu. Obdobný nástroj nabízí i Seznam. Jeho nástroj se jmenuje Webmaster Tools a po vzoru Googlu k němu nabízí taktéž vlastní nápovědu.

Měřící kódy a vzdálené skripty

Aby nedošlo k narušení HTTPS zóny, nesmí váš web načítat žádné prvky z nezabezpečeného protokolu HTTP. Může se jednat o obrázky, sledovací kódy, často používanou knihovnu jQuery, Googly Fonty a jiné. Zda váš web takové prvky obsahuje, si můžete ověřit např. v Google Chromu, kde se stiskem kláves Ctrl + Shift + I dostanete do rozhraní pro vývojáře na záložku Console. Nalezené chyby spojené s HTTPS se zde zobrazují jako Mixed Content. Aby nedocházelo k narušení zóny, je tyto chyby třeba odstranit.

Nevíte si rady a potřebujete pomoct?

V dnešním článku jsme si řekli, k čemu je přechod na zabezpečený protokol HTTPS dobrý a jaké má výhody. Také jsme si nastínili, jaké jsou základní kroky, které je při přechodu potřeba provést. Pokud přesto tápete nebo potřebujete pomoct s přechodem na HTTPS, neváhejte nás kontaktovat. Rádi vám s přechodem pomůžeme.