HTTP (Hypertext Transfer Protocol) je způsob přenosu dat na internetu, který používají všechny weby, webové aplikace i internetové obchody. Standardní protokol HTTP není chráněn před případnými útoky. Mezi hlavní útoky na tento protokol patří odposlouchávání aktivit uživatele a modifikace obsahu na internetu. Jejím cílem je získat citlivá uživatelská data (heslo, číslo kreditní karty). Tyto problémy se řeší vylepšeným protokolem HTTPS, který přenos dat mezi klientem a serverem šifruje.
Jak poznám, že je web zabezpečen pomocí HTTPS?
Zabezpečení šifrovaným protokolem poznáte v příkazovém řádku Vašeho prohlížeče tak, že před samotnou URL adresou (např. www.webaz.cz) je zobrazený zámeček a předpona „https://“.
Weby bez šifrovaného přenosu dat mají předponu bez zámečku ve standardním tvaru „http://“ nebo předpona není uvedena.
Proč je dobré mít HTTPS?
Bezpečnostní rizika
Standardní HTTP nešifruje přenos dat mezi klientem a serverem a web nebo e-shop se tím vystavuje několika poměrně závažným rizikům.
Při připojení k webu přes nezabezpečenou Wi-Fi síť dokáže případný útočník modifikovat výsledek načtení webové stránky. Cílem takovéto modifikace obsahu bývá nejčastěji vložení cizí reklamy nebo diskreditace daného webu pomocí vložení nevhodného obsahu.
U nezabezpečených webů nebo internetových obchodů, kde je možnost přihlášení se do uživatelského účtu hrozí riziko „odposlechu“ toku dat a případný útočník je schopný sledovat jaké weby si návštěvníci Vašeho webu prohlížejí.
Bez zašifrovaného přenosu dat je útočník také schopen vysledovat i přenášení souborů cookies, díky kterým je pak možné přihlásit se k účtu jiného návštěvníka pouze na několik kliknutí.
Zlepšení pozic ve vyhledavačích
Google již v roce 2014 uvedl, že HTTP vs. HTTPS využívá jako jeden z faktorů pro hodnocení webů resp. určování jejich pořadí ve výsledcích vyhledávání. Pokud se tedy aktivně věnujete optimalizaci pro vyhledavače (tzv. SEO), stává se z HTTPS téměř povinnost.
Důvěra návštěvníků aneb budoucí standard
Pokud zatím váháte zda přejít na šifrovaný certifikát HTTPS, tak je dobré si uvědomit i skutečnost, že se tento způsob zabezpečení stává pomalu standardem u webových projektů a někteří zkušenější uživatelé již v dnešní době váhají s uskutečněním registrace nebo nákupu a svěřením svých osobních údajů webu, který šifrování nevyužívá.
Co obnáší implementace?
Složitost implementace HTTPS se liší dle specifikace každého webového projektu. Úprava znamená drobné úpravy webu na jedné straně a změnu nastavení u poskytovatele Vašeho webhostingu na straně druhé.
Pro zprovoznění HTTPS je obvykle potřeba vyřešit následující body:
1) Změna nastavení webhostingu
Poskytovatel webhostingu musí nastavit HTTPS certifikát. Tato úprava obvykle navýší náklady na webhosting v řádech stokorun za rok.
2) Úprava odkazů webu
V rámci webové prezentace samotné je potřeba upravit způsob tvorby odkazů a případně úpravy pevně nastavených odkazů. Cena tohoto úkonu se liší v závislosti na volbě dodavatele webu a specifikaci konkrétního projektu.
3) Přesměrování odkazů webu pro vyhledavače
S přechodem na HTTPS se změní všechny URL adresy Vašeho webu a je tedy potřeba vytvořit přesměrování u stránek, které jsou zalistovány ve webových vyhledavačích (např. Google a Seznam.cz). Přesměrování je nutné dělat v případech, kdy není vhodné přijít o vybudované pozice ve výsledcích vyhledávání (SEO).
4) Zakoupení samotného certifikátu
Cena certifikátu se liší dle zvoleného poskytovatele webhostingu. Obvyklá cena se pohybuje v řádech stokorun. Certifikát se platí stejně jako webhosting v ročních intervalech.
Závěrem...
Implementace HTTPS není nutností, ale zvláště u projektů získávajících osobní údaje návštěvníků (typicky e-shop) je vhodné HTTPS certifikát mít - už kvůli ochraně a získání důvěry stále informovanějších uživatelů internetu.