V posledních letech je kladen velký důraz na bezpečnost webu. Téma HTTPS s ní přímo souvisí. Možná, že už jste si všimli, že vedle adresy některých webových stránek se zobrazuje symbol zámečku s textem „Zabezpečeno“. Samotná grafická podoba se může lišit podle toho, v jakém prohlížeči stránku zobrazujete. Princip je však stejný. Zámeček značí, že stránka používá protokol HTTPS a je zabezpečená.
Mít HTTPS zabezpečení na webu je nutnost
Protože se nejedná jen o trend, ale je to nutnost pro všechny majitele webových stránek, napíšu vám o HTTPS víc. Celá tato problematika je samozřejmě obsáhlejší, ale myslím si, že alespoň tento krátký úvod vám pomůže uvědomit si, že není třeba řešit otázku zda na HTTPS přejít, ale kdy – nejlépe co nejdříve.
Počet stránek s HTTPS neustále roste. Rozšiřuje se okruh služeb, které HTTPS přímo vyžadují. V Čechách to jsou například Google nákupy. Následující graf ukazuje podíl stránek, které byly načtené přes protokol HTTPS v Chromu od roku 2015. Graf je uveřejněn na webu Transparency Report.
Jak HTTPS zabezpečení funguje
Nyní vám popíšu trochu teorie okolo HTTPS, především proto, abyste pochopili rozdíl mezi HTTP a HTTPS.
HTTP a HTTPS protokol, SSL
HTTP (Hypertext Transfere Protocol) je protokol určený pro výměnu hypertextových dokumentů a dalších dat mezi klientem a serverem. Webový server je počítač, který vyřizuje HTTP požadavky od klientů (webových prohlížečů). Server odesílá prohlížeči cíl požadovaného URL – webovou stránku, obrázek atd. Protokol HTTP neumožňuje šifrování ani zabezpečení integrity dat.
HTTPS (Hypertext Transfer Protocol Secure) je zabezpečená verze protokolu HTTP. HTTPS využívá protokol HTTP spolu s SSL nebo novějším TLS.
SSL (Secure Sockets Layer) je vrstva, která šifruje komunikaci mezi serverem a klientem (prohlížečem) a ověřuje totožnost (autentizuje) komunikující strany.
Šifrování, autentizace a integrita dat
Zabezpečený web používá šifrovanou komunikaci mezi serverem a klientem. Tuto komunikaci může kdokoliv na cestě mezi vámi a serverem odposlouchávat, sledovat nebo modifikovat. Pokud ale bude šifrovaná, nedokáže ji přečíst. Proto je zabezpečení využíváno především při vkládání citlivých údajů do formulářů.
Aby tato komunikace byla také důvěryhodná, musí si klient ověřit totožnost serveru (autentizovat), aby měl jistotu, že se nejedná o falešný obsah.
Integrovaná data nelze během přenosu pozměnit ani poškodit, aniž by to nebylo zjištěno.
Bezpečnostní certifikát
Certifikát obsahuje informace o totožnosti majitele (serveru) a je podepsán certifikační autoritou. Certifikát je vázán na název domény. Pokud se certifikát shoduje s doménou stránek, pak je komunikace důvěryhodná (autentizovaná).
Certifikát je třeba získat od certifikační autority. Certifikační autority jsou společnosti, která potvrzují identitu žadatele. Každý z nás má ve svém informačním systému uložený seznam důvěryhodných certifikačních autorit. Existuje celá řada komerčních společností, které vám za určitý poplatek certifikát vystaví. Bezplatný certifikát lze získat například od společnosti Let’s Encrypt. Tento certifikát je dostačující pro běžné webové stránky a eshopy.
Certifikát má omezenou dobu platnosti a je třeba jej pravidelně obnovovat. Prodloužení certifikátu je však možné automatizovat a webhosting jej zařídí za vás. Na vás je jen k certifikátu v administraci hostingu přiřadit domény.
Výhody HTTPS zabezpečení webu
Zabezpečení dat
U ostatních webů, které jakýmkoliv způsobem zpracovávají data zákazníků online (maily, adresy, telefony, platební údaje).
Na HTTPS byste tedy měli přecházet kvůli samotným uživatelům, abyste chránili jejich soukromí.
Důvěryhodnost
Prohlížeče začaly graficky upozorňovat na weby, které nejsou na HTTPS. Pokud váš web funguje na HTTP, mohou ho někteří návštěvníci po upozornění od vyhledávače považovat za nedůvěryhodný. A to opravdu nechcete.
- nápověda k zabezpečení webu v Chromu
- nápověda k zabezpečení webu v Safari
- nápověda k zabezpečení webu ve Firefoxu
Lepší pozice ve vyhledávání
Již před několika lety Google oznámil, že bude stránky s HTTPS zvýhodňovat. Nejenže získáte plusové body navíc v SEO, ale Google bude také rychleji indexovat vaše stránky. Také český Seznam bere HTTPS jako pozitivní faktor pro SEO.
Nevýhody HTTPS zabezpečení
Výhody HTTPS rozhodně převažují nad nevýhodami. Nevýhody mohou spatřovat především majitelé zavedených webů, kteří jej budou muset na svůj web implementovat, což je náročnější, než HTTPS mít na webu už od začátku.
Komplikovaný přechod z HTTP na HTTPS
Přechod z HTTP na HTTPS může být dosti komplikovaný a pracný. Proto se vás snažím přesvědčit, abyste svůj web měli na HTTPS už od začátku a nemuseli se jím zabývat později.
Cena
Stránky s HTTPS mohou být dražší než stránky bez HTTPS. Cena závisí na zakoupeném cerfikátu a webhostingu. Nemusí to být ale pravda. Některé webhosting nabízí HTTPS s certifikátem Let’s Encrypt zdarma v rámci zakoupeného programu. Jiné vybírají malý poplatek, např. Wedos si účtuje 10 Kč bez DPH za měsíc. Nemyslím si, že cena je natolik vysoká, že by měla ovlivňovat vaše rozhodování.
Dnes jste se tedy dozvěděli, proč je potřeba na webu mít HTTPS zabezpečení.
V dalším článku vám popíšu, jak si HTTPS na web vložit.
Kompletní návod se všemi kroky najdete v článku Jak si vytvořit webové stránky ve WordPressu.
Máte na svém webu HTTPS? Nebo o něm alespoň uvažujete? Jsou pro vás zabezpečené weby důvěryhodnější?
