Proč mít web na HTTPS

V posledních letech je kladen velký důraz na bezpečnost webu. Téma HTTPS s ní přímo souvisí. Možná, že už jste si všimli, že vedle adresy některých webových stránek se zobrazuje zelený symbol zámečku s textem „Zabezpečeno“. Samotná grafická podoba se může lišit podle toho, v jakém prohlížeči stránku zobrazujete. Princip je však stejný. Zámeček značí, že stránka používá protokol HTTPS a je zabezpečená.

 

 

Protože se nejedná jen o trend, ale v budoucnu to bude také nutnost pro všechny majitele webových stránek, napíšu vám o HTTPS víc. Celá tato problematika je samozřejmě obsáhlejší, ale myslím si, že alespoň tento krátký úvod vám pomůže uvědomit si, že není třeba řešit otázku zda na https přejít, ale kdy – nejlépe co nejdříve.


Počet stránek s HTTPS neustále roste. Rozšiřuje se okruh služeb, které HTTPS přímo vyžadují. V Čechách to jsou například Google nákupy. Následující graf ukazuje podíl stránek, které byly načtené přes protokol HTTPS v Chromu od roku 2015. Graf je uveřejněn na webu Transparency Report.

 

Jak HTTPS funguje

Nyní vám popíšu trochu teorie okolo HTTPS, především proto, abyste pochopili rozdíl mezi HTTP a HTTPS.

HTTP a HTTPS protokol, SSL

HTTP (Hypertext Transfere Protocol) je protokol určený pro výměnu hypertextových dokumentů a dalších dat mezi klientem a serverem. Webový server je počítač, který vyřizuje HTTP požadavky od klientů (webových prohlížečů). Server odesílá prohlížeči cíl požadovaného URL – webovou stránku, obrázek atd. Protokol HTTP neumožňuje šifrování ani zabezpečení integrity dat.

HTTPS (Hypertext Transfer Protocol Secure) je zabezpečená verze protokolu HTTP. HTTPS využívá protokol HTTP spolu s SSL nebo novějším TLS.

SSL (Secure Sockets Layer) je vrstva, která šifruje komunikaci mezi serverem a klientem (prohlížečem) a ověřuje totožnost (autentizuje) komunikující strany.

 

Šifrování, autentizace a integrita dat

Zabezpečený web používá šifrovanou komunikaci mezi serverem a klientem. Tuto komunikaci může kdokoliv na cestě mezi vámi a serverem odposlouchávat, sledovat nebo modifikovat. Pokud ale bude šifrovaná, nedokáže ji přečíst. Proto je zabezpečení využíváno především při vkládání citlivých údajů do formulářů.

Aby tato komunikace byla také důvěryhodná, musí si klient ověřit totožnost serveru (autentizovat), aby měl jistotu, že se nejedná o falešný obsah.

Integrovaná data nelze během přenosu pozměnit ani poškodit, aniž by to nebylo zjištěno.

Certifikát

Certifikát obsahuje informace o totožnosti majitele (serveru) a je podepsán certifikační autoritou. Certifikát je vázán na název domény. Pokud se certifikát shoduje s doménou stránek, pak je komunikace důvěryhodná (autentizovaná).

Certifikát je třeba získat od certifikační autority. Certifikační autority jsou společnosti, která potvrzují identitu žadatele. Každý z nás má ve svém informačním systému uložený seznam důvěryhodných certifikačních autorit. Existuje celá řada komerčních společností, které vám za určitý poplatek certifikát vystaví. Bezplatný certifikát lze získat například od společnosti Let’s Encrypt. Tento certifikát je dostačující pro běžné webové stránky a eshopy.

Certifikát má omezenou dobu platnosti a je třeba jej pravidelně obnovovat. Prodloužení certifikátu je však možné automatizovat a webhosting jej zařídí za vás. Na vás je jen k certifikátu v administraci hostingu přiřadit domény.

 

 

Výhody HTTPS

Zabezpečení dat

U ostatních webů, které jakýmkoliv způsobem zpracovávají data zákazníků online (maily, adresy, telefony, platební údaje).

Na HTTPS byste tedy měli přecházet kvůli samotným uživatelům, abyste chránili jejich soukromí.

Důvěryhodnost

Prohlížeče začaly graficky upozorňovat na weby, které nejsou na HTTPS. Pokud váš web funguje na HTTP, mohou ho někteří návštěvníci po upozornění od vyhledávače považovat za nedůvěryhodný. A to opravdu nechcete.

Lepší pozice ve vyhledávání

Již před několika lety Google oznámil, že bude stránky v HTTPS zvýhodňovat. Nejenže získáte plusové body navíc v SEO, ale Google bude také rychleji indexovat vaše stránky. Také český Seznam bere HTTPS jako pozitivní faktor pro SEO.

 

Nevýhody HTTPS

Výhody HTTPS rozhodně převažují nad nevýhodami. Nevýhody mohou spatřovat především majitelé zavedených webů, kteří svůj web budou muset přesouvat, což je náročnější, než HTTPS mít na webu už od začátku.

Komplikovaný přechod z HTTP na HTTPS

Přechod z HTTP na HTTPS může být dosti komplikovaný a pracný. Proto se vás snažím přesvědčit, abyste svůj web měli na HTTPS už od začátku a nemuseli se jím zabývat později.

Cena

Stránky s HTTPS mohou být dražší než stránky bez HTTPS. Cena závisí na zakoupeném cerfikátu a webhostingu. Nemusí to být ale pravda. Některé webhosting nabízí HTTPS s certifikátem Let’s Encrypt zdarma v rámci zakoupeného programu. Jiné vybírají malý poplatek, např. Wedos si účtuje 10 Kč bez DPH za měsíc. Nemyslím si, že cena je natolik vysoká, že by měla ovlivňovat vaše rozhodování.

Tolik tedy k teorii zabezpečení webu. V dalším článku vám popíšu, jak si HTTPS na web vložit.


Máte na svém webu HTTPS? Nebo o něm alespoň uvažujete? Jaké jsou vaše zkušenosti s HTTPS?

Sledovat Martina Havelková:

martinahavelkova.cz

Baví mě tvořit krásné a funkční weby, na které se návštěvníci rádi vracejí, protože na nich našli to, co hledali. Díky mému kurzu WordPressu se to můžeš naučit i ty :)

Napsat komentář