Co je to HTTPS
Připojení k webovým stránkám a zobrazení jejich obsahu je realizováno protokolem HTTP (Hyper Text Transfer Protocol). Jistě jste si toho všimli např. při kopírování odkazu, kdy v odkazu je uvedeno http://www.vm-web.cz .
Přidomek S znamená Secured, tedy zabezpečeno. Znamená to jedinou věc. Informace které si vyměňuje váš internetový prohlížeč se serverem, který zasílá stránky pro zobrazení, je komunikace šifrovaná. To mimo jiné znamená, že je po cestě od serveru do prohlížeče a naopak je nikdo nemůže zachytit a přečíst. Pokud nemáte protokol HTTP zabezpečený, existuje vždy teoretická šance, že po cestě dat mezi prohlížečem a serverem je někdo odposlouchává nebo i změní (útoky MITM, zásahy různých virů a útočníků).
Je HTTPS nutnost?
Názory na zavedení HTTPS se různí. Důležité je si uvědomit, že HTTPS není všemocné. Skutečně zabezpečí pouze komunikaci vašeho prohlížeče se serverem poskytujícím informace (od změny dat, šmírování, podvodné přesměrování např. při používání bankovnictví apod). Pokud je nějakým způsobem napaden server nebo váš počítač, HTTPS vás neochrání.
Několik důvodů, proč má smysl nasadit HTTPS už dnes:
- pokud jsou na stránkách formuláře, kde vyplňujete např. osobní údaje, prohlížeče už dnes upozorňují, že připojení není zabezpečeno. Mimo bezpečnostního rizika to na návštěvníka, který neví, o co jde, nepůsobí vůbec dobře a může ze strachu odejít a přejít ke konkurenci, čímž ho ztratíte.
- legislativa již brzy bude vyžadovat "zodpovědné chování" při sběru dat. Opět je zde výhodou mít mimo jiné zajištěnou šifrovanou komunikaci.
- pokud na stránkách návštěvník vidí v adresním řádku zelený zámeček a popis "Komunikace je zabezpečena", působí to důvěryhodně
- Google a ostatní vyhledávače již nyní berou v úvahu zabezpečení stránek a lehce je upřednostňují ve vyhledávání před nezabezpečenými
- v neposlední řadě, dříve nebo později, budou všechny prohlížeče rovnou psát, že nezabezpečená stránka je nebezpečná, to je potom pro návštěvnost webu katastrofa
Je HTTPS drahá záležitost?
Není. Ale za určitých okolností může něco stát. Jako certifikační autoritu využívám LetsEncrypt, což je open source sdružení, poskytující certifikáty pro zabezpečení zdarma (nějaké poplatky mohou být účtovány hostingem). Pro všechny nově vytvářené stránky doporučuji přejít na HTTPS rovnou a stránky na to připravím. U existujících stránek lze také přejít na zabezpečený protokol, jen je nutné zjistit nejprve technické parametry stránek samotných, hostingu a zjistit, jestli bude potřeba udělat úpravy v kódu stránek a jak rozsáhlé. S tím vám rád pomohu .