nav line

Jaké jsou výhody a nevýhody převedení webu na zabezpečené HTTPS?

Také přemýšlíte nad tím, jestli dává smysl přesunout vaši webovou stránku z doposud používané HTTP adresy na její bezpečnější verzi HTTPS? A rádi byste se předem dozvěděli, co vás čeká a nemine?

Přechod na HTTPS rozhodně nepatří mezi jednoduché záležitosti a je tak třeba již na začátku zvážit všechna pro a proti. Tento článek přináší souhrn všech možných úskalí, která vás při přechodu na HTTPS mohou potkat a výčet hlavních důvodů, proč se vlastně (ne)pouštět do zavádění HTTPS na váš web.

Nejdřív si však pojďme připomenout, co to je HTTPS.

Co to je HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) představuje nadstavbu nad HTTP (Hypertext Transfer Protocol), internetovým komunikačním protokolem, který se využívá k přenášení dat na internetu.

S HTTPS jste se už nejspíše setkali. Pouze o tom jen asi nevíte. Nejsnazší způsob, jak poznat stránky zabezpečené pomocí HTTPS protokolu, je podívat se do adresního řádku, zda tam náhodou nevidíte obrázek uzamčeného zeleného zámku.

Obrázek č. 1 - ukázka adresního řádku s HTTPS protokolem

Obrázek č. 1 - ukázka adresního řádku s HTTPS protokolem

Jak se od sebe liší HTTP a HTTPS?

HTTPS se liší pouze tím, že data, které se přenáší mezi serverem (webová stránka, kterou si chcete prohlédnout) a klientem (váš internetový prohlížeč), jsou šifrovaná.

Tím je podstatně snížena možnost odposlouchávat, sledovat nebo modifikovat. Protokol HTTPS zároveň ověřuje protistranu (kdo data skutečně posílá). Uživatelé tak vědí, s kým komunikují a že se je nesnaží nikdo podvést.

Nicméně ani využití HTTPS neznamená, že komunikace nemůže být odposlouchávána či pozměněna. Pomocí metody MITM to samozřejmě jde, ale technicky je to významně složitější.

Pozn. MiTM (man-in-the-middle, volně přeloženo do češtiny - muž uprostřed) je metoda útoku na bezpečnost spočívající v tom, že mezi dvěma komunikujícími uživateli se nachází prostředník (zpravidla útočník), který všechen provoz odposlouchává a odesílá oběma subjektům vlastní šifrovací klíče, čímž může získat přístup k obsahu šifrovaných zpráv a ty pak následně také měnit. Ani jeden z uživatelů tak o existenci tohoto prostředníka nemusí mít vůbec ponětí. Realizace MiTM nicméně vyžaduje další zásahy do síťové infrastruktury, jejímž prostřednictvím uživatel se serverem komunikuje (typicky manipulování se směrovacími tabulkami IP protokolu nebo službou DNS, tzv. DNS spoofing).

Jak funguje HTTPS?

Systém zabezpečení u HTTPS probíhá prostřednictvím TLS protokolu, který je založen na certifikátech a důvěryhodnými certifikačních autoritách. Tyto certifikační autority představují instituce, od kterých získáváte důvěryhodný SSL certifikát.

Každý, kdo používá zabezpečený protokol, musí mít ve svém systému “nainstalovaný” seznam důvěryhodných certifikačních autorit či vlastních certifikátů protistran, kterým věří a je ochoten s nimi komunikovat (tzn. důvěřuje jim).

Ve výchozím stavu již operační systém každého obyčejného uživatele obsahuje nějaké důvěryhodné kořenové certifikační autority (například Verisign nebo Comodo). Webové servery, se kterými komunikujete mají certifikáty podepsané těmito důvěryhodnými certifikačními autoritami.

Tolik asi ve zkratce.

Certifikační autority

Jsou důvěryhodné instituce, do kterých si můžete pořídit certifikát. Cena komerčního certifikátu se ovlivňuje, na jakém stupni “v celém potravním řetězci” se nachází společnost, která certifikát vystavuje, její marže a případně další náklady, které musí certifikační autorita vynaložit na svou vlastní certifikaci.

Certifikační společnosti totiž mohou udělit oprávnění i dalším firmám a učinit z nich tak další certifikační autority, které mohou prodávat tyto certifikáty (zpravidla za nižší cenu) také a ty mohou opět toto oprávnění zase přeprodávat dále atd.

Cena certifikátu se tak bude lišit tím, od jakého subjektu kupujete certifikát. Obecně platí, že čím déle certifikační autorita, od které certifikát nakupujete, existuje, tím dražší bývá kupovaný certifikát.

Pozn. Váš certifikát může být důvěryhodný i v případě, že není přímo podepsán důvěryhodnou certifikační autoritou. Toho lze dosáhnout pomocí prostředníka - další certifikační autority. Pokud tedy například existuje obecně uznávaná certifikační autorita A, která podepíše důvěryhodný kořenový certifikát certifikační autoritě B, můžete pak používat certifikát i od certifikační autority B jako důvěryhodný.

Tento “trust-path” lze v podstatě neomezeně řetězit, takže k vašemu certifikátu můžete dostat klidně ještě další 3 certifikáty, které sestavují cestu důvěryhodnosti k vašemu certifikátu.

Toto může způsobovat problémy, když zprostředkované certifikáty, které jsou potřeba k ověření vašeho certifikátu, nejsou uvedeny ve správném pořadí, nebo když dojde k zneplatnění některého z těchto certifikátů v celém tomto řetězení.

Obrázek č. 2 - takto může vypadat řetězení certifikátů

Obrázek č. 2 - takto může vypadat řetězení certifikátů

Z toho důvodu je dobré snažit se mít trust-path co možná nejkratší - to má obvykle vliv i na cenu certifikátu.

Správnost nasazení SSL certifikátu si můžete ověřit např. zde:

https://www.ssllabs.com/ssltest/analyze.html

Ohodnoťte článek

Jaké jsou výhody a nevýhody převedení webu na zabezpečené HTTPS?
Seriál
Výhody a nevýhody migrace na HTTPS

Související články

Vyhledávání na blogu

Webová integrace

Webová integrace jako nová oblast pro business „velkých" webových agentur.

o webové integraci

Profily blogujících