Na internetu trávíme čím dál více času, čteme, studujeme, bavíme se, nakupujeme a také vkládáme do různých formulářů svá osobní data nebo informace, které by se nikdo cizí neměl dozvědět, jako jsou například čísla kreditních karet. Veškerá data, která proudí mezi serverem a naším prohlížečem na počítači či mobilu procházejí mnoha uzly internetové sítě a také se dostávají do vzduchu, pokud jsme připojeni přes jakoukoliv WiFi síť. Všude po cestě může stát nějaký záškodník, který data shromažďuje a posléze vybírá citlivé informace. A nejen to. Je tedy nutné všechny přenosy dat chránit.
Zabezpečit komunikaci na internetu lze pomocí HTTPS a SSL certifikátu
Co je to HTTPS
HTTPS je rozšířený internetový protokol HTTP (Hypertext Transfer Protocol) s kouzelným písmenkem „S“ na konci, které znamená SECURE. Byl vymyšlen pro ochranu dat, která proudí od serveru k uživateli a zpět a zajišťuje, že jsou veškeré informace zašifrovány a nelze je tedy při odposlechu rozšifrovat.
Dříve se zabezpečovaly převážně stránky bank a velkých firem, dnes se zabezpečená komunikace stává standardem díky snadnosti implementace, nízké ceně a podpory všech moderních systémů.
Co je to SSL certifikát
SSL je zkratkou pro protokol Secure Socket Layer (SSL na Wiki), který byl vytvořen již v roce 1994 právě pro zajištění bezpečné HTTPS komunikace. K zajištění HTTPS je použit certifikát vydaný důvěryhodnou třetí stranou, tzv. certifikační autoritou, která provádí ověření žádosti o certifikát. Laicky řečeno – SSL certifikát je soubor datových souborů, které jsou umístěné na server pro zajištění šifrovaného spojení mezi prohlížečem a serverem.
Jelikož SSL protokol je hodně starý, vytvořil se jeho následovník protokol TLS (Transport Layer Security). Tento protokol je již standardizovaný v RFC, avšak uvádění zkratky SSL se tak zažilo, že pro certifikáty se stále používá název SSL certifikát.
Proč zajistit zabezpečení webových stránek
Důvodů proč zabezpečit jakékoliv webové stránky nebo spíše komunikace mezi prohlížečem a serverem je více než 5. Sepsali jsme však ty nejzásadnější, které by měly každého přivést k zamyšlení, zda to HTTPS na svém webu již nezprovoznit.
1. Formuláře na webu
Zabezpečení přenosu vkládaných informací uživatelem na webových stránkách po internetu by mělo být naprostou samozřejmostí odpovědného majitele webu. Od roku 2018 se nutnost zabezpečení rozšířila o požadavky nařízení GDPR, které požaduje zajistit dostupné zabezpečení dat, což zajištění HTTPS splňuje.
Stránka kde se zadávají hesla, čísla kreditních karet a různé citlivé osobní údaje by neměla být vůbec přístupná po starém a nezabezpečeném HTTP protokolu.
2. Zvýšení SEO hodnocení
Společnost Google již v roce 2014 uvedla, že stránky na zabezpečeném HTTPS protokolu obdrží vyšší hodnocení při vyhledávání. Pokud na webu řešíte SEO optimalizaci, mělo by nastavení https:// být mezi prvními kroky. Nelze sice tvrdit, že zabezpečená komunikace zajistí umístění na 1. stránce vyhledávání, ale může pomoci vylepšit skóre kvality, které se skládá z dalších několika stovek více či méně důležitých vlastností webu.
3. Zrušení označení stránek „Nezabezpečeno“
Nejpoužívanější webový prohlížeč v současnosti je Chrome od společnosti Google. Používá jej více než 50 % uživatelů a stránky bez SSL certifikátu jsou negativně označovány „NOT SECURE“ – „Nezabezpečeno“ což působí velice nedůvěryhodně. Můžeme si myslet o Google co chceme, ale toto nezměníme a k iniciativě Encryption everywhere se přidávají další tvůrci prohlížečů.
Negativní označení nezabezpečených webů bude rozšiřováno, ještě více zvýrazňováno a nikdo nechce mít stránky označené jako nedůvěryhodné.
4. Využívání nových technologií
Chcete zrychlit načítání webových stránek v prohlížeči? Využívejte webhostingy nabízející nový protokol HTTP/2, který výrazně zrychluje načítání webových stránek. Avšak bez SSL certifikátu jej budou prohlížeče ignorovat a nebude funkční. Taktéž některé nové vlastnosti CSS stylů nebudou podporovány na nezabezpečené HTTP komunikaci.
Můžeme to považovat za spiknutí prohlížečů, ale opět s tím nic nenaděláme a bude lepší a jednodušší si vybrat z nabídky SSL certifikátů.
Technické omezení není pouze v nových technologiích, ale i u nastavení některých on-line služeb. Reklamní kanál Heuréka košík nebo Google nákupy neumožní e-shopům vytvořit reklamu vedoucí na nezabezpečený web. Toto omezení je navíc podložené průzkumy, které říkají, že více než 3/4 návštěvníků neprovede nákup na nezabezpečeném webu.
5. Ochrana a důvěra uživatele
Pokud Vás výše uvedené 4 body nepřesvědčili o nutnosti nasazení SSL certifikátu, protože máte jen jednu stránku nebo vlastní blog, kde přece žádné citlivé informace nejsou, tak se na to podívejme z té nejdůležitější strany.
Zabezpečená HTTPS komunikací chrání návštěvníka stránek !!!
Zabezpečená komunikace na internetu primárně chráníte uživatele, návštěvníka stránek nejenom před odposlechem komunikace, ale i před vložením zákeřného kódu do stránek nebo změněním obsahu (vkládání reklam, úprava obsahu). Toto je hlavní důvod, proč nasadit SSL certifikát i na ten nejmenší jednostránkový web, kde se domníváme, že nic k ochraně není. Toto je důvod, proč světové firmy jako Mozilla, Google a další vyžadují bezpečnou komunikaci. Uvědomují si, že se musí chránit nejen vkládané informace, ale i uživatel, na kterého se může útočit při návštěvě jakýchkoliv webových stránek. Ne všude na zemi je bezpečnost a demokracie standardem.
Nasazení SSL certifikátu a zprovoznění HTTPS komunikace je dnes standardem a mnoho uživatelů to tak již vnímá. Návštěva nezabezpečených stránek automaticky zvyšuje jejich nedůvěru v provozovatele.
SSL certifikát
Vytvoření HTTPS komunikace se neobejde bez SSL certifikátu. Při výběru vhodné značky a typu SSL certifikátu je dobré zvážit potřeby zabezpečené komunikace. Pro základní HTTPS komunikaci je dostatečný jakýkoliv komerční nejlevnější SSL certifikát v řádu stokorun nebo certifikát Let’s Encrypt, je-li nabízen na vašem hostingu. Právě díky vzniku automatizované autority Let’s Encrypt, která nabízí SSL certifikáty zdarma, se rozšíření zabezpečené komunikace celosvětově rapidně zvýšilo. Pokud váš webhosting nenabízí certifikáty Let’s Encrypt a ani neumožňuje nasadit vlastní komerční certifikát, doporučujeme provést co nejdříve změnu.
Zvolit komerční certifikát doporučujeme také v případě, že poskytovatel negarantuje obnovu automatizovaného certifikátu každé dva měsíce a jakýkoliv výpadek návštěvnosti by mohl způsobit finanční škody.
Firmy a e-shopy mohou zvážit přínos nasazení zeleného EV SSL certifikátu, který zobrazí název provozovatele v prohlížeči hned vedle domény. Ceny EV SSL certifikátů jsou dostupné a odměnou je mnohem vyšší důvěryhodnost webových stránek a celého projektu.
Dalších mnoho důvodů proč používat SSL certifikát můžete prostudovat na stránce doesmysiteneedhttps.com (anglicky).
Potřebujete nasadit SSL certifikát a HTTPS komunikaci na svůj web?
Využijte naše SECURITY SLUŽBY na projektu SSLmentor.cz
Bezpečnostní hlavičky – Security Headers
Pro zvýšení bezpečnosti svých webových stránek můžete používat i bezpečnostní hlavičky, tzv. Security Headers, které nastavují bezpečnostní pravidla mezi webovým prohlížečem a serverem. Nastavené hlavičky umožňují povolit nebo zakázat určité funkce prohlížeče pro vyšší bezpečnost a soukromí.
Kompletní informace o Security Headers získáte na našem projektu SecurityHeaders.cz.