Co je HTTPS - jak jej nastavit a k čemu slouží

Přidal Restart17, dne 13. 11. 2017, 0x

Všichni jistě znáte protokol Hypertext Transfer Protocol, jehož zkratka HTTP bývala standardní součástí URL adresy. Posledních pár měsíců je HTTP nahrazován novějším síťovým protokolem HTTPS (Hypertext Transfer Protocol Secure). Jaký je mezi nimi rozdíl, a proč je lepší používat HTTPS?

S rozšiřováním možností internetu se stále důležitější stává otázka soukromí. Původní protokol HTTP stažená data a uživatele nijak nechránil. Bylo je možné sledovat, odposlouchávat či jinak modifikovat obsah pro uživatele. Tok dat mohl zachytit “útočník” a zneužít je ve svůj prospěch.

Naproti tomu HTTPS slibuje uživateli větší ochranu šifrováním dat mezi koncovým uživatelem a serverem prostřednictvím protokolu TLS (Transport Layer Security). Jak poznáte, že jste lépe chráněni? Snadno. URL adresa začíná ikonkou zeleného malého zámku a zkratkou “https://”.

Od ledna 2017 Google eviduje všechny weby, které stále využívají protokol HTTP, a označuje je za nezabezpečné. U stránek se jako upozornění objeví ikona vykřičníku, který uživatele varuje.

K čemu slouží HTTPS

Jak již bylo uvedeno výše, hlavním smyslem protokolu HTTPS je silnější ochrana soukromí všech uživatelů internetu. Na zabezpečenou variantu HTTPS již přešla nebo postupně přechází podstatná většina administrátorů a webmasterů. A není to pouze proto, že Google HTTPS vnímá jak pozitivní signál pro SEO.

Důvody, proč převést webové stránky na HTTPS:

obsah webu nemůže upravit nebo změnit nikdo jiný než pověřený administrátor
osobní údaje vložené návštěvníkem jsou šifrované a nelze je stáhnout a zneužít
e-shopy bez bezpečného shromažďování dat nemohou na Google cílit reklamu
protokol HTTPS vyžaduje platební brána GoPay u všech e-shopů

Kdy je nutné použít HTTPS?

HTTPS by měl využívat každý provozovatel webových stránek, který od uživatelů vyžaduje citlivé údaje nebo zajišťují platební transakce. Jedná se zejména o weby, které:

přijímají objednávky (e-shopy)
provádí peněžní transakce (přijímání platebních karet apod.)
přenáší citlivé údaje (e-mail, hesla, jméno uživatele a jeho adresa apod.)
vyžadují zabezpečení důvěrných a citlivých informací
musí být vysoce důvěryhodné (školy, banky, státní úřady atd.)

Webové stránky, které na HTTPS nepřejdou, budou časem označené za potenciální nechráněné přenositele a šiřitele virů a malwarů. Místo webových stránek na uživatele vyskočí červená varovná zpráva.

Jak nastavit HTTPS

Nejprve je nutné HTTPS povolit na hostingu. K tomu budete potřebovat příslušný certifikát. Lze využít placené služby, ale existují i certifikáty zdarma. Jedním z nich je například SSL certifikát LetsEncrypt, jehož jedinou nevýhodou je nutnost prodlužování certifikátu každé 3 měsíce. To lze ale nastavit automaticky. Administrace je naštěstí více než snadná - stačí v nastavení povolit HTTPS a máte hotovo.

Následuje změna nastavení přístupu k HTTPS na WordPressu. V menu vyberte “Nastavení” a “Obecné” a adresu HTTP prostě pouze přepište na HTTPS a uložte. V domovské složce webu najděte soubor .htaccess, který je nutné editovat zadáním kódu, aby vaši návštěvníci opravdu skončili na zabezpečených stránkách HTTPS. Úspěšný převod poznáte podle zelené ikonky zámku a zeleně napsané HTTPS:// před vaší URL.

Pokud se místo zeleného zámečku objeví červený zámek s křížkem, převod se nepovedl. S největší pravděpodobností jste použili neplatný certifikát. Problém byste měli vyřešit s dodavatelem certifikátu.

Před URL adresou se také může objevit vykřičník, který uživatele informuje, že web využívá jak HTTP, tak i HTTPS adresy (tzv. mixed content). Kliknutím na ikonu vykřičníku a možnosti “Podrobnosti” zjistíte, které URL adresy mají stále nastavený protokol HTTP. Všechny tyto URL adresy musíte změnit, jinak vykřičník nezmizí. Jedná se například o příspěvky, kategorie, bannery, widgety, komentáře, štítky apod. Změnu lze provést ručně nebo za pomoci hromadného příkazu v databázi.

Jak změnit URL adresu u externích služeb a nástrojů? Pokud využíváte externí služby, URL adresu budete muset změnit i zde. Mezi takové služby patří zejména:

Google Analytics - změnu protokolu provedete v “Administrátor-Nastavení služby-Výchozí adresa URL-zvolte verzi HTTPS
Search Console - původní data je doporučeno exportovat, abyste o ně smazáním HTTP verze nepřišli
Seznam - zkontrolujte převod webu pomocí nástroje pro webmastery od Seznamu

Až budete mít převod hotový, nezapomeňte provést závěrečnou kontrolu. Otevřete si webové stránky na různých prohlížecích a proklikejte různé stránky. Podívejte se, zda Search Console nehlásí žádné chyby, a zkontrolujte růst počtu zaindexovaných stránek. Prostě se důkladně přesvědčte, že převod opravdu proběhl v pořádku.