Obsah článku
A je to tady. Že budou prohlížeče čím dál víc tlačit používání HTTPS se tušilo, jen se zatím nevědělo, který prohlížeč a kdy přitvrdí tak, že už to bez HTTPS nepůjde. Už to víme.
Od července 2018 bude Chrome označovat weby bez HTTPS jako nebezpečné
Včera se na blogu vývojářů prohlížeče Chrome objevil článek upozorňující na to, že Chrome od verze 68 bude označovat všechny weby na HTTP jako nebezpečné. Nepůjde tedy jen o stránky, kde je přihlášení nebo platba kartou, jako tomu bylo dosud, ale o všechny weby. Takže i když budete mít nějaký svůj blogísek o vaší kočce a nebudete ho mít na HTTPS, bude Chrome vašim návštěvníkům sdělovat, že web není bezpečný. A to myslím nechcete.
Konkrétně to bude vypadat takto:
Vzhledem k tomu, že dnes Chrome i Firefox varují podobně na stránkách s přihlášením nebo platbou, dá se očekávat, že k přísnějšímu chování Chrome se brzy přidá i Firefox, takže tato změna se rázem bude týkat nějakých 70 až 80 % návštěvníků vašeho webu.
Není třeba panikařit
Nasazení HTTPS se nemusíte bát, v drtivé většině případů by vás to nemělo stát ani korunu navíc. Certifikát lze pořídit zdarma a většina webhostingů za to nechce platit nic navíc, nebo chtějí symbolický poplatek. Oznámení Chrome by mělo zapůsobit pozitivně v tom, že webhostingy přinutí HTTPS nabízet. Bez toho budou totiž v podstatě nepoužitelní a nekonkurenceschopní.
Je také možné, že se rozšíří nabídka certifikátů zdarma, ale pokud to nechcete řešit a zkoumat, sáhněte po osvědčeném řešení od autority Let’s Encrypt, resp. chtějte ho po svém webhosterovi nebo IT oddělení.
Jak a proč HTTPS nasadit si můžete přečíst v mém starším článku, zde jen shrnu základní situace, které u vás mohou nastat:
1. máte web u nějakého poskytovatele webhostingu
To znamená, že web vám běží u někoho, komu za to měsíčně platíte nějaký poplatek a o nic víc se nestaráte. V takovém případě si na jeho webu najděte kontakt na podporu a chtějte zapnout HTTPS. Pokud vám nebudou schopni vyhovět nebo po vás budou chtít neúměrně velké peníze, porozhlédněte se po jiném hostingu.
Tip: když dáte v Googlu hledat „Let’s Enrcypt„, uvidíte pravděpodobně na prvních místech inzeráty webhostingů s certifikátem zdarma.
2. máte vlastní server
Pokud máte vlastní server, máte pravděpodobně někoho, kdo se o něj stará – vaše IT oddělení, nebo externí dodavatel. Chtějte zapnutí HTTPS po něm.
3. máte osobní web či blog u služby, která nabízí instantní výrobu i provoz webu
Pokud máte web u služby typu Webnode.cz, WordPress.com a podobně, tak tam dávno HTTPS máte, jako v případě dvou jmenovaných a nebo nemáte a musíte provozovatele začít bombardovat dotazy a požadavky. Pokud existuje služba, která dodnes HTTPS nenabízí, tak věřím, že brzy nabízet začne, protože bez toho by byla od července nepoužitelná.
Na co nezapomenout
Vždy musíte po nasazení HTTPS udělat minimálně jednu věc: přesměrovat všechny staré adresy ve tvaru http://vasweb.cz/nejaka- stranka na https://vasweb.cz/nejaka- stranka. Pokud to neuděláte, nebudou původní adresy fungovat a budete mít problém. Přesměrování chtějte zajistit po tom, kdo vám bude HTTPS zapínat. Je to pro něj práce na dvě minuty.
Je spousta dalších věcí, které je dobré po přechodu změnit, ale přesměrování adres je naprostý základ. Pokud vás web živí a vaše podnikání je na něm závislé, přečtěte si vyčerpávající seznam toho, co je třeba po přechodu změnit či zkontrolovat.
A poslední věc: vím, že my Češi jsme mistři v řešení věcí na poslední chvíli, ale nenechávejte si přechod na konec června 🙂
Ať to klidně udělají.
Řada webů zase nejde otevřít v prohlížeči Firefox 1,5 roku staré verze. Například všechny weby Internet Infa. Načítají se a načítají, a nic z toho, až je nutné Firefox odstřelit jako proces.
Už cca 20 svých příbuzných jsem naučil na jiné weby.
Bud rád, když mi pošlete konkrétnější údaje – jaká přesně verze Firefoxu? Rok a půl je něco jako verze 48? Určitě to není záměr a navíc naše weby vznikaly dříve než před rokem a půl a určitě fungovaly v aktuálním Firefoxu.
A jen pro představu – Firefox 48 má např. na Lupě ze všech Firefoxů podíl 0,37 % – většina lidí totiž prohlížeč aktualizuje.
Tvrdit, že Chrome bude označovat weby bez HTTPS jako nebezpečné je zavádějící. Nebude je totiž označovat jako „Tento web je nebezpečný“, ale „Tento web je nezabezpečený“ resp. „Tento web není zabezpečený“ (Not secure), což je poměrně zásadní rozdíl. Zatímco druhý správný výklad má informativní charakter, první nesprávný výklad má trochu bulvární podtext a má tendenci vystrašit uživatele, že na stránce je nutně přítomné akutní nebezpečí.
Asi máte pravdu, na druhou stranu pokud je něco nezabezpečené, znamená to, že bych to raději neměl používat – „tato cesta je nezabezpečená proti pádu lavin“ mi říká, že bude rozumnější jít v zimně jinudy, i když zrovna teď lavina nepadá.
Může být, souhlasím spíš s přesným překladem a výklad nechal na každém samostatně. Ad. příklad s lavinou – podobné upozornění nebude mít stejnou váhu v zimě a v létě. Záleží na okolnostech a to je ten výklad.
Setkal jsem se i se zajímavým řešením, kdy e-shop běží pořád na http (náběh na sezónu a nechuť riskovat přechod) s tím, že košík a část webu /objednavka běží na https. Sice by se u http pořád zobrazovalo upozornění na nezabezpečené připojení, ale aspoň to není u košíku a objednávky :-).
To je docela hloupost, Já osobně, kde není HTTPS, ani nemůžu jít. Mám zapnut HttpsEverywhere, táákže je mi to fuk, tam kde není, neřeším. Buť to hodí chybu s certifikátem, nebo vyhodí chybu modul.
Můžete mi vysvětlit jako dvouletému, jaký je význam HTTPS pro návštěvníky čistě informativní webů, blogů a osobních stránek, kde nezadávají žádné registrační údaje? :)))
Stačí si ten článek přečíst 🙂 Nápověda – nevadí vám, když na návštěvníky čistě informativního webu prohlížeč křičí, že je stránka nebezpečná?
Článek jsem četl. Vám nic nevytýkám, Tomáši. Křičící prohlížeče jsou ale imho jen důsledek. Můj dotaz směřuje spíš k podstatě té filosofie nutnosti zavádění HTTPS u podobných webů a jejich označování jako nebezpečných. Jaký má tento protokol praktický smysl na webech, kde nejsou předávány žádné údaje? Ptám se, protože to nevím. 😉
Jeden čistě praktický dopad je třeba lehké zrychlení webu, viz hezká hříčka na httpvshttps.com.
Na HTTP stránky jse dají podvrhovat média, texty a další, tudíš nemusí být zcela v právu. Navíc i Tvá IP adresa je osobní údaj, který ze zaznamenává.