5 důvodů, proč přejít na https

Možná jste poslední dobou zaslechli zprávy, že webové stránky a eshopy hromadně přecházejí na zabezpečený protokol HTTPS, a zajímaly by vás důvody proč, a jestli se to týká i vás a vašeho webu. Pokusím se pro vás stručně shrnout, o co vlastně jde, jaký to má přínos, co je třeba udělat a co vás to bude stát.

Důvody, proč přejít na HTTPS:

Zabezpečení ochrany dat

Zjednodušeně řečeno pro laiky - váš web běží na jednom z těchto protokolů - rozdíl mezi nimi je, že informace, které se odesílají z http nejsou šifrované, a tak je může kdokoliv snadno odposlouchat - kdykoliv vám někdo pošle dotaz pomocí kontaktního formuláře, kdykoliv vyplní zákazník objednávku. To je důležité hlavně, pokud se návštěvníci přihlašují nebo si prohlížejí Váš web přes veřejnou nezabezpečenou wifi.

Možná si říkáte, že nejde o nic "důvěrného", ale fakt je, že jako provozovatel webu zodpovídáte za ochranu osobních dat, které vám návštěvníci svěří. Takže používáním HTTP si možná zaděláváte na problém s Úřadem pro ochranu osobních údajů. Pokud se u vás v eshopu platí kartou nebo paypalem, hodně lidí si rozmyslí, jestli tyto údaje zadá někam bez https. (i když platební brány většinou přesměrují přímo na https).

Podrobněji pro zasvěcené - v čem se liší HTTP a HTTPS

Vliv na SEO - pozice ve výsledcích vyhledávání

Google nedávno oznámil, že do algoritmu, podle kterého určuje pozici ve výsledcích vyhledávání, zařadil i kritérium, jestli je daný web na HTTPS nebo ne. Zjednodušeně se dá říci, že Google bude zvýhodňovat weby na https před weby na http. Stejně jako dříve oznámil, že bude upřednostňovat na mobilních zařízeních weby, které jsou responzivní, můžete si přechodem na https polepšit vůči vaší konkurenci, která zaspala.

Google bude označovat nezabezpečené weby ve výsledcích hledání

Stejně jako některé bezpečnostní aplikace i Google už nyní označuje ve výsledcích vyhledávání "nebezpečné stránky", které byly napadeny hackery. Brzy budou podobně označené i weby, na kterých dochází k nešifrovanému přenosu dat - bez https. Google myslí na bezpečí návštěvníků - sice by si mohli sami hlídat, jestli jsou na http nebo https, ale vzhledem k tomu, že tomu vysoké procento lidí nerozumí, řekne jim to víc polopaticky už před vstupem na web tak, že označí weby, které běží pouze na http. Nezabezpečené weby budou mít v prohlížeči Chrome vedle adresy brzy značku červeného „x”. A ruku na srdce, když uvidíte vy ve výsledcích vyhledávání tři výsledky, a u dvou z nich bude napsané, že nejsou "důvěryhodné", na který kliknete?

Přednost při indexaci stránek

V prosinci 2015 Google oficiálně oznámil na svém blogu, že bude při indexaci upřednostňovat stránky na https. Pokud tedy chcete mít svůj nový web nebo nově přidané stránky rychleji vidět ve výsledcích vyhledávání Google, HTTPS vám v tom může pomoci.

Získáte více informací o svých návštěvnících

Při předávání informací mezi stránkou na HTTPS a na HTTP se předávají jen nejnutnější informace, zatímco dvě zašifrované stránky si předají informace standardně. To platí i o nešifrované, která posílá data šifrované. Získáte tak více informací, které můžete použít pro marketingové účely. Například Google předává data jen šifrovaným stránkám.

Co je třeba udělat pro přechod na https?

Pokud jste vlastník webu nebo eshopu, tak vám stačí víceméně požádat svého webmastera, aby to pro vás udělal. Tím pádem můžete přeskočit k části "kolik vás to bude stát".

Jste-li webmaster, přečtěte si následující článek, jak získat a instalovat certifikát SSL na WEDOSu. Pokud nepoužíváte webhosting WEDOS, bude postup obdobný, ale může se lehce lišit podle rozhraní vašeho hostingu.

Kolik stojí přechod na HTTPS?

Náklady spojené s přechodem na HTTPS se opět budou lišit podle hodinové sazby vašeho webmastera a použitého webhostingu, ale v zásadě se připravte na toto:

• Certifikát SSL
  Ceny SSL certifikátů se dost liší jednak podle vydavatelské autority, tak podle doby, na kterou si jej objednáte. Např. na SSLmarket.cz pořídíte certifikát RapidSSL již od 349 Kč za rok, oblíbený je i certifikát Thawte, který stojí 1397 Kč/rok. Ale pokud chcete ušetřit, můžete použít i SSL certifikát zdarma od Letsencrypt. Jeho "trvanlivost" je sice kratší - 90 dní, ale některé webhostingy zajistí automatickou obnovu za vás, a tím pádem vás to nemusí trápit. Např. na WEDOSu stačí požádat o jeho vystavení podporu, a pak zařídit implementaci https na webu.

• Příplatková služba SNI
  I tato cena se může lišit, ale např. na WEDOSu stojí aktivace příplatkové služby SNI, která je u nich předpokladem využívání SSL, 10 Kč/měsíčně. Takže ročně vás to vyjde jen na 120 kč. Super je, že je to cena za všechny domény, které máte na webhostingu, ne za doménu. Takže pokud máte pod jedním hostingem více webů, pořád vás to bude stát jen těch 120 Kč/ročně.

• Práce webmastera
  Množství a cena práce webmastera se bude lišit podle použitého systému. Někde to může být max. hodinka, někde víc či míň. Pokud použijete automaticky obnovující se certifikát Letsencrypt, jste za vodou. U placených certifikátů, které je třeba obnovovat, počítejte s náklady na práci s jejich obnovou.

Na co si dát ještě pozor?

Je třeba si dát pozor, abyste po přechodu na https nevkládali do stránky vložíte skripty, obrázky, reklamu či youtube videa a další iframe jenom z http. V takovém případě totiž prohlížeč zobrazí takovýhle výstražný trojúhelník v adresním řádku.

Trocha technické terminologie...

HTTP vs. HTTPS

1. URL schéma: HTTPS URL začíná s https:// a používá port 443 jako hlavní, zatímco HTTP URL začíná s http:// a používá port 80 jako hlavní.
2. Bezpečnost: HTTP je nezabezpečené a dá se snadněji odposlouchat. To může útočníkovi umožnit získat přístup k citlivým informacím. Naproti tomu HTTPS je navrženo a zabezpečeno tak, aby takovým útokům odolalo.
3. Síťová vrstva: HTTP operuje na nejvyšší vrstvě TCP/IP modelu, což je vrstva Aplikační. SSL operuje jako nižší podvrstva stejného TPC/IP modelu, ale šifruje HTTP zprávu pro odeslání a rozšifruje ji, když dorazí. Proto HTTPS není separátní protokol, ale využívá vlastně HTTP se zašifrovaným SSL připojením.

SSL vs HTTPS

SSL je standard, který definuje, jak jsou šifrována připojení přes HTTPS.

SSL, Secure Sockets Layer, je standardní bezpečnostní technologie, která slouží k navázání zašifrovaného spojení mezi webovým serverem a prohlížečem. Toto spojení zajišťuje to, aby všechna data, která jím projdou mezi serverem a prohlížečem zůstala soukromá a ničím nenarušená.

HTTPS představuje schéma URI, které má identickou syntaxi jako standardní HTTP schéma, kromě svého tokenu. HTTPS signalizuje prohlížeči, že má použít přidanou vrstvu šifrování pomocí SSL, aby ochránil komunikaci.

Jak funguje SSL?

Klasický SSL certifikát obsahuje název vaší domény, název společnosti, adresu, město, stát a zemi. Dále obsahuje datum své expirace a detaily o certifikační autoritě, která je zodpovědná za vydání certifikátu.

V momentu, kdy se prohlížeč připojí k zabezpečenému webu, získá SSL certifikát stránky a zkontroluje, jestli neexpiroval, zda je vydán autoritou, které prohlížeč věří, a jestli je používán právě tím webem, pro který je určen. Pokud certifikát neprojde jednou z těchto kontrol, zobrazí prohlížeč varování koncovému uživateli, aby věděl, že stránky není zabezpečená přes SSL.

Proč použít HTTPS?

HTTPS je zvláště důležité na nezabezpečených sítích (jako je třeba Wi-Fi), protože kdokoli na stejné lokální síti může odchytávat pakety a zjistit tak citlivé informace.

Kolikrát se vám již stalo, že jste navštívili stránku na veřejné síti a otevřely se vám v prohlížeči neočekávané reklamy?

Pokud poskytujete obsah vašeho webu bezpečně přes HTTPS, garantujete tak, že nikdo nezmění to, jak se stránka zobrazí uživateli. Pokud to myslíte vážně s fungováním online, SSL jednoduše potřebujete. Je to nejlepší cesta jak ochránit uživatelská data a bránit se proti krádeži identity.

Hodně lidí již dnes odmítá zadávat jakékoliv informace na webech, které nemají SSL certifikát. Používáním SSL tak dáváte lidem najevo, že mohou používat vaše webové stránky s důvěrou, že je komunikace chráněna.