nav line

Co se může stát, když nepoužíváte HTTPS protokol?

Představte si, že se přihlašujete na nezabezpečeném webu a vaše heslo po cestě někdo odchytne a bude tak mít vaše přihlašovací údaje k danému účtu. Asi každý z vás si umí představit, jaký velkého strašáka může tato situace představovat pro banky a pro její uživatele, kteří se například přihlašují do elektronického bankovnictví.

To však není jediná riziková situace, která by mohla nastat. Představte si, že svým uživatelům posíláte nějaká data a útočník je po cestě změní.

Zákazníkovi kupříkladu po vyplnění objednávky podsune jinou adresu platební brány a nic netušící zákazník tak pošle peníze někomu zcela jinému. A obdobných rizik je u nezabezpečených přenosů více.

Uživatelům, kteří se připojují na nezabezpečený web, můžete modifikovat přenášená data a zobrazovat jim či podsouvat jakýkoliv váš vlastní „škodlivý“ obsah (viry, bannery aj.). Vaše konkurence by tak čistě hypoteticky mohla pokaždé, když se uživatel bude chtít podívat na váš web, zobrazovat pornografický materiál, či vám škodit jakkoliv jinak dle libosti.

V jakých situacích by se měl využívat HTTPS protokol?

V podstatě u jakýchkoliv webů, kde by zcizení či pozměnění dat mohlo způsobit nenapravitelnou škodu, tzn. v podstatě u všech webů :-). Jen ne pro každého je ochrana dat jeho uživatelů tak zásadní jako například u:

  • E-shopů, kde lze vyplnit online objednávky a platit pomocí kreditní karty a je třeba zamezit zneužití či zcizení důležitých osobních či platebních údajů.
  • Bank a u finančních institucí, které pracují s platebními údaji a osobními údaji zákazníků.
  • Ve státní správě, na úřadech, jelikož tyto instituce velice často pracují s citlivými údaji (datum narození, adresa, rodné číslo aj.) a stejně tak jako všechny ostatní subjekty musí vaše tato data náležitě chránit.
  • U ostatních webů, které jakýmkoliv způsobem zpracovávají data zákazníků online (maily, adresy, telefony, platební údaje).

Právě pro tyto segmenty je ochrana dat prioritou číslo jedna.

Rostoucí zájem o HTTPS díky marketingu

Před necelými dvěma lety Google vydal prohlášení, ve kterém upozornil, že weby využívající HTTPS (= SSL certifikáty) budou z pohledu SEO mírně upřednostňovány a budou se tak pravděpodobně zobrazovat výše ve výsledcích vyhledávání.

Čehož se samozřejmě chytli lidé z marketingu v domnění, že jim právě přechod na HTTPS pomůže získat konkurenční výhodu.

Jen pro zajímavost - Google dokonce změnu na HTTPS podporoval už v roce 2012, tzn. dva roky předtím, než se začal pojem HTTPS skloňovat ve všech pádech hlavně kvůli SEO.

Protože podobných signálů, které vyhledávač vyhodnocuje, jsou stovky. A kdyby mělo využití HTTPS třeba byť jen jednoprocentní podíl na výsledném hodnocení pozic na Googlu, tak se vám to zkrátka nejspíš stejně nevyplatí. Už jen proto, že je s tím spojeno obrovské množství práce. Ostatně tomu, jaké martyrium vás pak čeká, se věnuji podrobněji níže.

Nemusíte se ani bát toho, že se vám propadne web o desítky pozic. Stejně tak vám nehrozí penalizace za to, že váš web běží stále na nezabezpečeném HTTP. Je to prostě něco, co můžete udělat a získáte malou výhodu navíc. Ale když to neuděláte, nic hrozného se nestane. Vlastně skoro nic, jak ukazují výsledky většinu uživatelů, kteří se nechali zlákat přechodem na HTTPS “kvůli SEO”.

Na HTTPS byste měli přecházet kvůli samotným uživatelům, abyste chránili jejich soukromí. Protože asi nic nevypadá hůře, než když se provalí nějaký bezpečnostní problém a data uživatelů pak běhají nezadržitelně po internetu a všichni ví, že za to můžete právě VY! O to horší to pak může být problém, pokud jste třeba firma, která poskytuje hosting, vyrábí webové stránky anebo provozujete například internetovou peněženku…

Cena certifikátu

Cena certifikátu – při přechodu na HTTPS si musíte chtě nechtě pořídit SSL certifikát, který si musíte pravidelně obnovovat (a zaplatit za něj anebo si pořídit certifikát od subjektu, který vám jej poskytne zdarma).

Lze si samozřejmě pořídit SSL certifikát i na několik let dopředu. Není nutné jej tedy ručně obnovovat každý rok, pokud nechcete. Celý tento proces se dá automatizovat, jen vás to bude stát opět nějaký čas navíc, než přijdete na to, jak.

Pokud nepotřebujete zrovna takto zabezpečit stovky webů, nemusíte se bát toho, že byste museli platit nějaké závratné částky. Navíc firem nabízející důvěryhodné certifikáty zdarma existuje hned několik a tak ne vždy musíte za certifikát platit.

A pokud už náhodou jste vlastníkem velkého množství domén, které chcete pomocí HTTPS zabezpečit, tak asi částky v řádů tisíců pro vás nejspíše nepředstavují výrazný problém, protože jste minimálně středně velká firma, pro kterou tyto částky budou kapkou v moři.

Ceny certifikátů se liší podle typu:

Automatizovaný důvěryhodný SSL certifikát od Let's Encrypt - nejlevnější (bezplatná) varianta, která ale neumí Wildcard.

Za zmínku určitě stojí i fakt, že některé české hostingy již nabízejí funkci auto-SSL. Tzn. všechny hostované weby u daného hostera mají k dispozici SSL certifikát (Let's Encrypt), který je buď zdarma anebo z nějaký symbolický poplatek. Jejich seznam sestavil Dušan Janovský ze Seznamu.

Základní komerční SSL - lze certifikát pořídit již cca od 150 Kč za rok a vztahuje se nejčastěji na jednu doménu.

SAN/UC (Subject Alternative Name/Unified Communications) - tyto certifikáty umožňují chránit jedním SSL certifikátem více domén.

SSL Wildcard certifikáty (taktéž označovány jako hvězdičkové certifikáty) - představují univerzální typ SSL certifikátu, který umožňuje zabezpečit všechny subdomény pod jednou hlavní doménou. Wildcard certifikát obsahuje před názvem hlavní domény hvězdičku (např. *.lundegaard.eu) a jeho použití šetří finanční náklady na nákup dalších SSL certifikátů a v neposlední řadě i čas potřebný pro jejich instalaci a správu.

IDN SSL (Internationalised Domain Names) - jsou certifikáty využívající se k zabezpečí domény, které používají znaky mimo standardní abecedu latinky (a-z). IDN SSL certifikátem můžete zabezpečit například weby mající v názvu ruské či čínské znaky.

Samotné certifikáty se pak liší nejenom cenou, množstvím domén, které lze jedním certifikátem zabezpečit, ale také typem ověření:

DV SSL (Domain Validation) - cenově nejdostupnější SSL certifikáty, které pro svoje ověření používají pouze základní ověření na úrovni domény, kdy je zasílán verifikační e-mail. Obrovskou výhodou DV certifikátů je jejich rychlé vystavení, které může být provedeno během několika minut.

OV SSL (Organization Validation) - SSL certifikáty nabízí vyšší stupeň důvěryhodnosti oproti certifikátům DV díky kompletní identifikaci společnosti, pro kterou je SSL certifikát vystaven. Ověření společnosti zdůrazňuje důvěryhodnost provozovatele www projektu, návštěvník má možnost kdykoliv si provozovatele stránek ověřit.

EV SSL (Extended Validation certifikáty) – tento certifikát zbarví zeleně adresní řádek prohlížeče S EV SSL certifikátem se navíc vedle www adresy zobrazí i název společnosti.

Pozn.: Problém s SSL za vás může řešit někdo jiný, kdy využíváte v podstatě služeb prostředníka (pak se jedná o tzv. SSL offload) a šifrování tak může probíhat ještě před serverem. Tuto komunikaci lze povolit / omezit za pomocí firewallu pouze s prostředníkem a minimalizovat tak riziko, že někdo bude moci vaše data odchytávat či měnit.

Přejít na 3. část seriálu o HTTPS

Ohodnoťte článek

Co se může stát, když nepoužíváte HTTPS protokol?
Seriál
Výhody a nevýhody migrace na HTTPS

Související články

Vyhledávání na blogu

Webová integrace

Webová integrace jako nová oblast pro business „velkých" webových agentur.

o webové integraci

Profily blogujících