Přechod na HTTPS, ano nebo ne?

ArtFocus Blog - články 25.03.2024 05:00 Zvažujete přechod na HTTPS – šifrovaný zabezpečený protokol? Není co zvažovat! Proč je HTTPS rozumnou volbou se dozvíte v tomto článku. Najdete zde taky odkazy na weby, kde můžete úroveň zabezpečení svého webu zkontrolovat on-line a taky se přesvědčit, zda-li jste při přechodu na HTTPS něco neopomněli. HTTPS versus HTTP protokol Jak poznáte rozdíl webu s HTTPS a bez HTTPS Rozdíl vidíte v adresní řádce prohlížeče. Pokud je spojení s webem zabezpečené přes HTTPS uvidíte tam zelený, nebo šedý zavřený zámeček. Taky HTTPS má na konci S, co znamená HTTP secure neboli nebo taky . Výhody HTTPS, nevýhody HTTP výhoda HTTPS pro SEO Google používá . Neustále tlačí na to, aby . Je dost možné, že Google časem bude weby, které neběží přes HTTPS, ve výsledcích vyhledávání znevýhodňovat. Seznam 92% webům které běží na HTTPS protokolu přidělí pozitivní signál o váze 16 promile vysvětluje . výhoda HTTPS pro majitele webu Záleží vám na vašich uživatelích? Pokud ano, toto stojí minimálně za zamyšlení: prohlížeče budou stránky, na kterých se zadává heslo a nepoužívají HTTPS protokol, označovat jako "NEZABEZPEČENÉ". Kupříkladu , nebo taky Firefox který a a . Přihlašování do administrace bude přes internet přenášeno šifrovaně = zabezpečeně. Nikdo nemůže obsah vašeho webu po cestě k návštěvníkovi pozměnit. výhoda HTTPS pro návštěvníky webu Návštěvníci odesílají webové formuláře a v nich uvádějí svůj email a další osobní údaje, které budou přenášené internetem šifrovaně = zabezpečeně. stále více externích služeb pro e-shopy vyžaduje HTTPS e-shopy bez HTTPS blokují kvůli "Nezodpovědnému shromažďování dat uživatelů." je taky pouze pro e-shopy, které běží na HTTPS protokolu, protože: "API vyžaduje zabezpečené spojení pomocí SSL ." taky vyžaduje aby e-shop byl na HTTPS. Má HTTPS nějakou nevýhodu? Jediná nevýhoda je pár setin sekundy zdržení při načítání webu. Toto zpoždění lze velice účinně minimalizovat použitím , nebo a umístěním webu na . V podstatě tyto nesrozumitelné zkratky znamenají to, že zpoždění kvůli vytváření zabezpečeného spojení je tak malé, že jej návštěvník stránek nedokáže vnímat. Můžeme to uzavřít tedy tak, že HTTPS žádnou nevýhodu nemá. Jaké riziká HTTPS protokol řeší Zranitelnost HTTP protokolu na cestě od uživatele z jeho prohlížeče k serveru kde máte web hostován Jak přihlašovací údaje včetně vašeho hesla, tak i osobní údaje které lidi vkládají do formulářů na webu když si od vás něco objednávají nebo poptávají cestují mezi prohlížečem návštěvníka a serverem kde je web hostován nezabezpečeně, tedy v plain textu. Jinými slovy vaše heslo jako i odesílané osobní údaje návštěvníků cestují internetem čitelné, nijak nešifrované. Proto pokud by záškodník chtěl, tak osobní údaje lidí, nebo vaše přihlašovací údaje může odchytit a zneužít. Říkáte si "Kdo by chtěl odchytávat tyto údaje?". Ano, neděje se to každý den. Ale stačí aby se to stalo jednou za pár let a může z toho být docela nepříjemný problém. Zranitelnost HTTP na cestě ze serveru k návštěvníkovi do prohlížeče Obsah vašeho webu "cestuje" internetem čitelně, nešifrovaně. Proto obsah webu může "záškodník", třeba poskytovatel připojení k internetu, na cestě k uživateli pozměnit. Například tak, že na váš web lidem kteří si jej prohlížejí přes jeho připojení vloží svou reklamu. HTTPS protokol tyto nebezpečí řeší Při přenášení citlivých údajů internetem pomocí plain textu, jak to je u HTTP nezabezpečených webů, je to jen o tom jestli tyto zranitelnosti záškodník zneužít chce nebo ne. Krom šifrování pomocí HTTPS protokolu nezbývá žádný jiný mechanizmus zamezující aby někdo nemohl tyto rizika zneužít. U webu s HTTPS zabezpečením je téměř nulová šance, že by se to mohlo stát. Komunikace mezi klientem a serverem je šifrovaná a zabezpečená. Nikdo nemůže pozměnit ani obsah webu, ani odchytit hesla, ani osobní údaje které uživatelé odesílají přes webové formuláře. Proč to doposud s HTTPS bylo komplikované Do roku 2016 bylo nutné každý rok opakovaně kupovat a prodlužovat HTTPS certifikát od certifikační autority, například od: , . Webmástři pak museli: ručně opakovaně instalovat na server HTTPS certifikát, to nejen při zakoupení, ale i při jeho prodloužení před expirací, přepnout web na HTTPS protokol. Pokud byste certifikát zapomněli po expiraci u certifikační autority prodloužit nebo byste prodloužený certifikát neinstalovali na server, návštěvníkům se web na HTTPS protokolu s takovýmto expirovaným certifikátem nezobrazí : zobrazí web na HTTPS protokolu s neplatným certifikátem Navíc byla cena doposud poměrně vysoká a především certifikát bylo potřebné platit opakovaně každý rok: 1300 Kč / certifikát / rok a pak opět zavedení certifikátu na server na další rok Nyní je to s HTTPS certifikáty jednoduché Toto vše jsme schopni pro vás zabezpečit my, včetně získání certifikátu a jeho obnovování. Takže pokud budete chtít po nás web, automaticky bude běžet na HTTPS a vy s tím nebudete mít už žádné starosti. Nic nemusíte kupovat, aktivovat, ani platit opakovaně každý rok. Nemusíte tedy vlastně kvůli HTTPS už nic řešit: odpadá složitý nákup a aktivace HTTPS certifikátu, odpadá pravidelné placení za obnovu certifikátu, odpadá ruční zavádění na server, odpadá riziko zapomenutí prodloužení certifikátu. Ještě o krok dále: HSTS a preload listy Při HSTS se jedná o vynucené HTTPS připojení se zamezením přenosu nezabezpečeným HTTP protokolem. Navíc pokud váš web splňuje HSTS požadavky, můžete jej umístit na . Pak budou prohlížeče na váš web přistupovat rovnou zabezpečeně, bez nutnosti prvotního přesměrování. Rizika a průběžné aktualizace software na serveru Čas od času někdo objeví bezpečnostní díru HTTPS protokolu, kterou pak řeší softwarové aktualizace serveru. Pár příkladů nalezených a opravených bezpečnostních dír HTTPS: Tyto zranitelnosti pak musí správce vašeho serveru odstranit nainstalováním potřebných softwarových aktualizací. Otestujte svůj web Jestli je váš web zabezpečený a nemá žádnou známou zranitelnost . Nejlepší možné hodnocení je A+, nezabezpečený web má známku F. Jestli je váš web nebo e-shop HSTS ready a nachází se na . , jestli jste pohlídali při přechodu na HTTPS vše co je třeba. Seznam prohlížečů podporujících HTTPS provozované na našem serveru: Všechny prohlížeče podporující SNI : .