HTTPS zabezpečení vyžaduje Google Chrome od ledna

Rozdíl mezi protokolem HTTP (Hypertext Transfer Protocol) a HTTPS (Hypertext Transfer Protocol Secure) lze velmi zjednodušeně vylíčit takto:  Veškerá data, která jsou přenášena přes internet klasickým protokolem HTTP, nejsou chráněna před odposlechem, sledováním nebo modifikací obsahu pro uživatele.

Oproti tomu protokol HTTPS, na rozdíl od protokolu HTTP, uživatele chrání. Tato ochrana je zajištěna šifrováním dat prostřednictvím TLS (Transport Layer Security) protokolu mezi koncovým uživatelem a serverem.

A jak poznáte, že stránka běží pod HTTPS?

Velmi jednoduše. V URL webu se objeví ikonka malého zámku a zároveň URL adresa začíná https://.

V dnešní době není pro administrátory a webmastery mnoho pádných argumentů, proč na zabezpečenou variantu nepřejít. Google totiž používá HTTPS jako pozitivní signál pro SEO.

Proč přesunout web na zabezpečený

Nezabezpečené HTTP spojení nezaručuje, že obsah, který se dostane do prohlížeče, je ten obsah, který vytvořila příslušná webová stránka. U zabezpečeného HTTPS webu tato starost odpadá.

Konkrétní výhody převodu:

• Nikdo nemůže obsah vašeho webu po cestě k návštěvníkovi pozměnit.
• Návštěvníci odesílají webové formuláře a v nich uvádějí svůj email a další osobní údaje, které budou přenášené internetem šifrovaně = zabezpečeně a nikdo je nebude moci odečíst, stáhnout a zneužít.
• Reklamní formát Google nákupy pak eshopům bez zabezpečení neumožňují nastavit reklamu kvůli nemožnosti bezpečně shromažďovat data uživatelů.
• A Heuréka košík je taky pouze pro eshopy, které běží na chráněném protokolu, protože: „API vyžaduje zabezpečené spojení pomocí SSL (https).“
• Platební brána GoPay inline vyžaduje, aby e-shop byl Hypertext Transfer Protocol Secure.
• Souhrnně je přenos důvěrných informací skrze HTTP nebezpečný, protože tok dat může zachytit útočník – kupříkladu na nezabezpečených bezdrátových sítích nebo routeru, ke kterému získal již dříve přístup.

Změny od ledna 2017

Během ledna spolu s verzí prohlížeče Chrome 56. dochází k označení http webů, které sbírají data, jako nezabezpečený.  Kdo v současné době nemá svůj web s protokolem HTTPS, pak se u stávajících stránek setkává s ikonou vykřičníku, která uživatele nabádá k obezřetnosti při nakládání se svými citlivými daty.

V pozdějších verzích prohlížeče pak Google plánuje varování rozšířit. Nejprve budou HTTP protokoly označené jako nezabezpečené připojení při prohlížení webu přes anonymní režim, nakonec Chrome ukáže varování pro všechny HTTP protokoly ve formě rudého trojúhelníku vlevo na adresním řádku. Stejný trojúhelník dnes prohlížeč využívá pro nefunkční HTTPS protokoly.

Pokud i nadále nedojde k převodu webu na chráněný protokol, a přesný nejzazší termín dosud Google neuvedl, bude web označen jako potenciální nechráněný přenositel a šiřitel virů a malwarů. Google Chrome by web napříště nezobrazil a místo něj by ukázal pouze červenou varovnou zprávu.

Protože jistě chcete předejít problému s protokoly, je nejvyšší čas převod na HTTPS řešit. O rozjetí HTTPS by se vám vždy měli postarat administrátoři vašeho webu, serveru nebo pokud někde hostujete, tak např. váš programátor spolu s webmasterem. HTTPS je sice o něco náročnější na webový server než HTTP, ale pokud nemáte zastaralý web z minulého století, který už nemá na síti co pohledávat, vůbec zvýšenou zátěž nezaznamenáte.

Článek o bezpečnosti webu: Google Transparency Report.