Možná jste už také slyšeli, že weby musí co nejdříve přejít na https. Co to znamená a jak to udělat správně?

Co je to https?

Hypertext Transfer Protocol Secure je “jazyk”, kterým se domlouvá váš prohlížeč se serverem, který do prohlížeče odesílá webovou stránku. Pro majitele webu není vůbec důležité jak funguje a není třeba mu rozumět. Že web používá https poznáte většinou podle ikonky zámečku v adresním řádku.

Důležité je ono písmenko S značící Secure, tj. zabezpečený. Většina webů dnes používá verzi bez onoho S, která je nezabezpečená. Znamená to, že data mezi prohlížečem a serverem putují v textové podobně a kdokoliv je může cestou číst nebo pozměnit. Můžete si to představit třeba jako klasickou pohlednici – tu také může číst kdokoliv, kdo ji cestou od vás k adresátovi má v ruce.

UPDATE: Přečtěte si i pěkný popis nutnosti https od Michala Špačka. Ač je Michal bezpečnostní expert, vysvětluje to pochopitelně i pro laiky.

Zhruba od roku 2015 se začalo více prosazovat používání https všude a to se tak pomalu, ale jistě, stává standardem. Od roku 2017 začínají dokonce některé prohlížeče označovat stránky bez https jako potenciálně nebezpečné, pokud je na nich přihlašovací formulář odesílající heslo. Výhledově je velice pravděpodobné, že znevýhodnění nezabezpečených stránek bude čím dál větší a za pár let http zcela zanikne. Důrazně tedy doporučuji mít web dostupný primárně na https už dnes.

Jak přejít na https?

Pokud máte webhosting

Bez spolupráce s vaším poskytovatelem webhostingu to s největší pravděpodobností nedokážete. Zeptejte se ho, jaké řešení vám nabízí a za kolik peněz. Dnes již nabízí většina slušných webhosterů https zdarma nebo za miniaturní poplatek. Využívají pro to certifikáty Let’s Encrypt, které jsou vydávány zdarma a pro běžný web bohatě stačí.

Vyčerpávající seznam webhostingů s podporou Let’s Encrypt najdete na jakpsatweb.cz. Zde na blogu občas zmiňuji hosting OneBit, který https nabízí zdarma a Wedos, který ho má za symbolický poplatek 10 Kč. Webhosting NoLimit můžete mít u Wedosu díky mému blogu se slevou 50 % – stačí při objednávce použít kupon „WN650AAYSP„.

Je dobré vědět, že existují i placené a někdy i velmi drahé certifikáty, ty ale obvykle kupují banky nebo velké eshopy. Mimo jiné mají pak například barevný adresní řádek a jméno banky či eshopu vypsané  v něm. Třeba takto:

Cena takových „lepších“ certifikátu začíná na stovkách EUR či dolarů za rok. Jak již ale bylo řečeno, pro běžný prezentační web je placený certifikát zbytečný a Let’s Encrypt zdarma bohatě stačí.

TIP: Láká vás Bitcoin, ale netušíte, která bije? Mrkněte na kurz pro začátečníky, kde se naučíte úplně zdarma vše důležité a pochopíte základy. Kurz Jak začít s Bitcoinem.

Pokud máte vlastní server nebo VPS

Pokud máte server nebo VPS, tak pravděpodobně máte i někoho, kdo se o ten server stará (pokud nemáte, tak si koledujete o průšvih). Takže nejjednodušší je, když svému správci pošlete odkaz na tento článek a budete po něm chtít, aby vám https nasadil. Skvělý článek o tom, jak nasadit na server Let’s Encrypt, vyšel na serveru Root.cz a podle jeho návodu to zvládne každý administrátor serveru.

Na co při změně nezapomenout

Přesměrování původních adres

Extrémně důležité je uvědomit si, že pro vyhledávače je web na https v podstatě nový web. Čistě teoreticky může totiž na http://tomaskrause.cz běžet úplně jiný web, než na https://tomaskrause.cz. To vy ale samozřejmě většinou nechcete, takže musíte všechny staré adresy přesměrovat na nové a dát tak lidem i vyhledávačům najevo, že web se přesunul.

Toto přesměrování lze udělat nejjednodušeji na úrovni webserveru a váš webhoster by vám s tím měl umět poradit. Pokud to z nějakého důvodu na úrovni serveru udělat nelze, máte výhodu, pokud používáte nějaké hotové řešení typu WordPress, pro nějž existují rozšíření, která přesměrování umí vyřešit.

Webhoster, který nabízí přechod na https by měl umět vyřešit i přesměrování. Že by nabízel https a neuměl vám pomoci s přesměrováním původní verze, je dost nepravděpodobné, ale neříkám, že nemožné.

Pokud váš webhoster https nenabízí, je přechod na něj možná vhodnou dobou, pro změnu webhostera.

Kontrola webu

Jakmile web přesunete a staré adresy přesměrujete, věnujte čas pečlivému proklikání webu a vyzkoušení všeho, co má web dělat (odesílání formulářů, objednávek, zobrazování obsahu z externích služeb a pod.).

Nezapomeňte na to, že do stránky na https nesmíte načítat obsah na http – prohlížeč pak hlásí návštěvníkovi problém se zabezpečením. Nejčastějším problémem jsou obrázky uvedené včetně protokolu – http://mujweb.cz/obrazky/obrazek.png musíte změnit na https://mujweb.cz/obrazky/obrazek.png. A dále pak různé externí služby vkládající na web své kódy. Nicméně většina těch velkých už je na https připravena a uvádí adresu univerzálně – //nejaka-sluba.cz/.

Pokud někde v rámci webu odkazujete na další stránky webu absolutně, tj. ve tvaru http://mujweb.cz/nejaka-stranka, změňte to na https://mujweb.cz/nejaka-stranka. Stejně tak změňte odkazy na váš web tam, kde to změnit můžete (různé online služby, katalogy, spřátelené weby a pod.)

A pokud řešíte na webu SEO, mrkněte i na seznam toho, co si pohlídat po přechodu.

Související články: