Přechod na HTTPS, ano nebo ne?

Zvažujete přechod na HTTPS – šifrovaný zabezpečený protokol? Není co zvažovat! Proč je HTTPS rozumnou volbou se dozvíte v tomto článku. Najdete zde taky odkazy na weby, kde můžete úroveň zabezpečení svého webu zkontrolovat on-line a taky se přesvědčit, zda-li jste při přechodu na HTTPS něco neopomněli.

HTTPS versus HTTP protokol

Jak poznáte rozdíl webu s HTTPS a bez HTTPS

Rozdíl vidíte v adresní řádce prohlížeče. Pokud je spojení s webem zabezpečené přes HTTPS uvidíte tam zelený, nebo šedý zavřený zámeček. Taky HTTPS má na konci S, co znamená HTTP secure neboli bezpečné HTTP nebo taky HTTP pomocí TLS.

Výhody HTTPS, nevýhody HTTP

1. výhoda HTTPS pro SEO
   • Google používá HTTPS jako pozitivní signál pro SEO. Neustále tlačí na to, aby celý web přešel na HTTPS. Je dost možné, že Google časem bude weby, které neběží přes HTTPS, ve výsledcích vyhledávání znevýhodňovat.
   • Seznam 92% webům které běží na HTTPS protokolu přidělí pozitivní signál o váze 16 promile vysvětluje Dušanem Janovský.
2. výhoda HTTPS pro majitele webu
   • Záleží vám na vašich uživatelích? Pokud ano, toto stojí minimálně za zamyšlení: prohlížeče budou stránky, na kterých se zadává heslo a nepoužívají HTTPS protokol, označovat jako "NEZABEZPEČENÉ". Kupříkladu Google Chrome, nebo taky Firefox který to oznamuje zde a taky zde a ještě zde.
   • Přihlašování do administrace bude přes internet přenášeno šifrovaně = zabezpečeně.
   • Nikdo nemůže obsah vašeho webu po cestě k návštěvníkovi pozměnit.
3. výhoda HTTPS pro návštěvníky webu
   • Návštěvníci odesílají webové formuláře a v nich uvádějí svůj email a další osobní údaje, které budou přenášené internetem šifrovaně = zabezpečeně.
4. stále více externích služeb pro e-shopy vyžaduje HTTPS
   • Google nákupy e-shopy bez HTTPS blokují kvůli "Nezodpovědnému shromažďování dat uživatelů."
   • Heuréka košík je taky pouze pro e-shopy, které běží na HTTPS protokolu, protože: "API vyžaduje zabezpečené spojení pomocí SSL (https)."
   • GoPay inline platební brána taky vyžaduje aby e-shop byl na HTTPS.

Má HTTPS nějakou nevýhodu? Jediná nevýhoda je pár setin sekundy zdržení při načítání webu. Toto zpoždění lze velice účinně minimalizovat použitím keep alive, nebo ALPN a umístěním webu na HSTS preload list. V podstatě tyto nesrozumitelné zkratky znamenají to, že zpoždění kvůli vytváření zabezpečeného (HTTPS) spojení je tak malé, že jej návštěvník stránek nedokáže vnímat. Můžeme to uzavřít tedy tak, že HTTPS žádnou nevýhodu nemá.

Jaké riziká HTTPS protokol řeší

Zranitelnost HTTP protokolu na cestě od uživatele z jeho prohlížeče k serveru kde máte web hostován

Jak přihlašovací údaje včetně vašeho hesla, tak  i osobní údaje které lidi vkládají do formulářů na webu když si od vás něco objednávají nebo poptávají cestují mezi prohlížečem návštěvníka a serverem kde je web hostován nezabezpečeně, tedy v plain textu. Jinými slovy vaše heslo jako i odesílané osobní údaje návštěvníků cestují internetem čitelné, nijak nešifrované.  Proto pokud by záškodník chtěl, tak osobní údaje lidí, nebo vaše přihlašovací údaje může odchytit a zneužít.

Říkáte si "Kdo by chtěl odchytávat tyto údaje?". Ano, neděje se to každý den. Ale  stačí aby se to stalo jednou za pár let a může z toho být docela nepříjemný problém.

Zranitelnost HTTP na cestě ze serveru k návštěvníkovi do prohlížeče

Obsah vašeho webu "cestuje" internetem čitelně, nešifrovaně. Proto obsah webu může "záškodník", třeba poskytovatel připojení k internetu, na cestě k uživateli pozměnit. Například tak, že na váš web lidem kteří si jej prohlížejí přes jeho připojení vloží svou reklamu.

HTTPS protokol tyto nebezpečí řeší

Při přenášení citlivých údajů internetem pomocí plain textu, jak to je u HTTP nezabezpečených webů, je to jen o tom jestli tyto zranitelnosti záškodník zneužít chce nebo ne. Krom šifrování pomocí HTTPS protokolu nezbývá žádný jiný mechanizmus zamezující aby někdo nemohl tyto rizika zneužít.

U webu s HTTPS zabezpečením je téměř nulová šance, že by se to mohlo stát. Komunikace mezi klientem a serverem je šifrovaná a zabezpečená. Nikdo nemůže pozměnit ani obsah webu, ani odchytit hesla, ani osobní údaje které uživatelé odesílají přes webové formuláře.

Proč to doposud s HTTPS bylo komplikované

Do roku 2016 bylo nutné každý rok opakovaně kupovat a prodlužovat HTTPS certifikát od certifikační autority, například od:

• uk.godaddy.com,
• crt.simplia.cz.

Webmástři pak museli:

1. ručně opakovaně instalovat na server HTTPS certifikát, to nejen při zakoupení, ale i při jeho prodloužení před expirací,
2. přepnout web na HTTPS protokol.

Pokud byste certifikát zapomněli po expiraci (třeba po roku) u certifikační autority prodloužit nebo byste prodloužený certifikát neinstalovali na server, návštěvníkům se web na HTTPS protokolu s takovýmto expirovaným certifikátem nezobrazí :(

Obr: Jak se (ne)zobrazí web na HTTPS protokolu s neplatným certifikátem (např. po expiraci)

Navíc byla cena doposud poměrně vysoká a především certifikát bylo potřebné platit opakovaně každý rok:

• 1300 Kč / certifikát / rok
• a pak opět zavedení certifikátu na server na další rok

Nyní je to s HTTPS certifikáty jednoduché

Toto vše jsme schopni pro vás zabezpečit my, včetně získání certifikátu a jeho obnovování. Takže pokud budete chtít po nás web, automaticky bude běžet na HTTPS a vy s tím nebudete mít už žádné starosti. Nic nemusíte kupovat, aktivovat, ani platit opakovaně každý rok.

Nemusíte tedy vlastně kvůli HTTPS už nic řešit:

• odpadá složitý nákup a aktivace HTTPS certifikátu,
• odpadá pravidelné placení za obnovu certifikátu,
• odpadá ruční zavádění na server,
• odpadá riziko zapomenutí prodloužení certifikátu.

Ještě o krok dále: HSTS a preload listy

Při HSTS se jedná o vynucené HTTPS připojení (HTTP Strict Transport Security) se zamezením přenosu nezabezpečeným HTTP protokolem. Navíc pokud váš web splňuje HSTS požadavky, můžete jej umístit na Chromium HSTS preload list. Pak budou prohlížeče na váš web přistupovat rovnou zabezpečeně, bez nutnosti prvotního přesměrování.

Rizika a průběžné aktualizace software na serveru

Čas od času někdo objeví bezpečnostní díru HTTPS protokolu, kterou pak řeší softwarové aktualizace serveru. Pár příkladů nalezených a opravených bezpečnostních dír HTTPS:

• Padding oracle in CBC mode decryption
• Drown Attack
• Lucky Thirteen attack

Tyto zranitelnosti pak musí správce vašeho serveru odstranit nainstalováním potřebných softwarových aktualizací.

Otestujte svůj web

1. Jestli je váš web zabezpečený a nemá žádnou známou zranitelnost zjistíte na webu SSL Labs. Nejlepší možné hodnocení je A+, nezabezpečený web má známku F.
2. Jestli je váš web nebo e-shop HSTS ready a nachází se na Chromium HSTS preload listu zjistíte zde.
3. Zkontrolujte si v tomto seznamu, jestli jste pohlídali při přechodu na HTTPS vše co je třeba.

Seznam prohlížečů podporujících HTTPS provozované na našem serveru:

Všechny prohlížeče podporující SNI (Server Name Indication) : en.wikipedia.org.