Technika

Čo je HTTPS, ako funguje a prečo ho nasadiť na web

EXPRESSINFO21. marca 2022
4minútové čítanie
HTTPS
Foto: Sean MacEntee, CC BY 2.0, prostřednictvím Wikimedia Commons

Čo je HTTP a HTTPS

HTTP je skratka pre Hypertext Transfer Protocol. V praxi nie je potrebné poznať podrobnosti a ide o veľmi jednoduchý protokol, ktorý prenáša údaje medzi serverom a webovým prehliadačom. http (alebo https) sa preto celkom bežne nachádza na začiatku adries URL webových stránok.

HTTPS s písmenom S na konci len pridáva slovo Secure, čo znamená bezpečný. V praxi je teda HTTPS stále prenosom dát cez HTTP, ale je šifrovaný. To je nevyhnutné pri prenose citlivých údajov, ako sú prístupové údaje, mená, adresy, čísla platobných kariet, e-mailové adresy alebo iné údaje, ktoré určite nechcete vypustiť do sveta.

V praxi sa dá povedať, že úplne každá webová lokalita by mala používať protokol HTTPS a všetky moderné webové prehliadače dávajú používateľom vedieť, že sa nachádzajú alebo nenachádzajú na zabezpečenej lokalite.

V prehliadači Google Chrome sa napríklad pri nezabezpečených lokalitách zobrazuje vedľa adresného riadka nasledujúca informácia:

Nezabezpečené stránky

Na druhej strane, pri zabezpečených prenosoch sa zobrazí visiaci zámok, ktorý označuje, že prenos je zabezpečený:

Zabezpečené stránky

Ako funguje protokol HTTPS?

Nebudeme sa zaoberať vyloženými podrobnosťami, pretože si nemyslím, že sú mimoriadne potrebné, ak vás zaujíma len prevádzka blogu a zabezpečenie prenosu.

Protokol HTTPS používa šifrovací protokol s názvom Transport Layer Security (TSL), predtým známy ako Secure Sockets Layer (SSL). Tento šifrovací protokol vytvára nad protokolom HTTP novú vrstvu, ktorá šifruje komunikáciu tak, aby ju mohli dešifrovať len body (zvyčajne webový prehliadač a server), medzi ktorými komunikácia prebieha. Používa sa pri tom asymetrická kryptografia, o ktorej stačí vedieť, že pred odoslaním webovej stránky sa vytvorí takzvaný TSL/SSL handshake, v ktorom si prehliadač a server vymieňajú rôzne informácie na zašifrovanie prenosu.

Našťastie sa to všetko deje úplne na pozadí, takže sa nemusíme o nič starať a server a prehliadač si všetko vybavia medzi sebou.

Prečo je dôležitý protokol HTTPS?

Keď sme v sieti (buď doma, alebo keď sa pripojíme k wifi napríklad v reštaurácii alebo na letisku), posielame do nej veľa informácií a veľa informácií aj prijímame. Pre skúsenejšieho používateľa, ktorý používa aj úplne bezplatné programy, nie je problém zachytiť všetky tieto prijaté alebo odoslané údaje. Stačí, ak sa pripojí k rovnakej sieti.

Údaje odosielané prostredníctvom protokolu HTTP nemajú absolútne žiadne zabezpečenie. Je to jednoducho text, ktorý dokáže ľahko prečítať. Takže všetky údaje, ktoré pošleme nezašifrované, môžu byť odovzdané ako na striebornom podnose.

Protokol HTTPS túto komunikáciu šifruje, takže ak ju niekto zachytí (čo stále môže), stále sa nič nedozvie, pretože to bude úplne nezmyselná spleť znakov. Iba server a my (alebo náš prehliadač) vieme, ako túto zmes previesť späť do čitateľnej podoby.

Možno si povieme, že ak neposielame žiadne dôverné informácie, heslá alebo niečo podobné, je v poriadku, ak ideme na nezabezpečenú stránku. Aj tu je však problém. Údaje sa dajú odpočúvať aj ľahko dopĺňať. Na stránkach sa môžu náhle objaviť prvky, ktoré pridal nejaký sprostredkovateľ, ktorý komunikáciu zachytil, upravil a poslal v novej podobe. Zvyčajne to môžu byť reklamné prvky, ale v praxi to môže byť čokoľvek iné.

Ako prejsť z HTTP na HTTPS

Ak chcete prejsť na protokol HTTPS, musíte si zaobstarať certifikát, ktorý vydávajú certifikačné autority. V praxi ide len o to, aby zabezpečenie a komunikácia spĺňali požiadavky na šifrovanie, a aby sa teda spojeniu dalo skutočne dôverovať.

Týchto certifikačných autorít je viacero, ale na zriadenie blogu vám bude úplne vyhovovať certifikát Let‚s Encrypt, ktorý je úplne zadarmo a spĺňa všetky požiadavky na bezpečnosť pripojenia. V podstate jediný rozdiel medzi platenými certifikátmi a Let’s Encrypt je ten, že v prípade Let’s Encrypt sa všetko overuje podľa domény, ale už nie napríklad podľa organizácie, ktorá doménu vlastní. Platené certifikáty sú teda skôr pre väčšie spoločnosti, ale nie pre menšie blogy, za ktorými nestojí veľká spoločnosť.

Ak zakladáte nový blog, odporúčam vám, aby ste prechod na HTTPS vyriešili úplne okamžite, ešte pred uverejnením prvého článku alebo vykonaním akejkoľvek inej činnosti.

VydaniecertifikátuLet‚s Encrypt je našťastie otázkou niekoľkých kliknutí a každý trochu serióznejší webhosting to umožňuje priamo vo svojich nastaveniach (zvyčajne kliknete, že chcete vydať certifikát, ktorý sa vygeneruje v priebehu niekoľkých minút až desiatok minút, a to je všetko).

Musíte nájsť presné miesto a ja vám tu nebudem radiť, kde presne si môžete nechať vystaviť certifikát od toho či onoho webového hostiteľa, ale určite vám pomôže zákaznícka podpora alebo trochu googlovania. Certifikát SSL je potrebné po určitom čase obnoviť, ale váš hosting by sa mal postarať aj o to, takže po nastavení všetkého (v praxi na 3 kliknutia myšou) sa nemusíte o nič starať.

Ak vám váš webhosting neumožňuje vystaviť bezplatný certifikát, myslím, že je najlepšie hľadať iné miesto, kde budete mať svoju webovú lokalitu. Pretože toto by mal byť absolútny základ.

Nezabudnite na presmerovanie stránok

Ak niekto navštívi nezabezpečenú verziu vášho webu, mal by byť automaticky presmerovaný na zabezpečenú verziu https. Adresa URL stránky by preto nemala začínať http:// , ale správne https://. A ak chce niekto prejsť na stránku http://vasblog.sk, adresa URL sa automaticky zmení na https://vasblog.sk

O spôsobe presmerovania vrátane pripravených kódov píšem tu. Je to krok, ktorý sa naozaj nedá preskočiť. Našťastie je to opäť otázka niekoľkých kliknutí alebo skopírovania časti textu, takže žiadne obavy.

Zabezpečený prenos cez protokol HTTPS je pre vyhľadávače hodnotiacim faktorom

Ak vás predchádzajúce riadky nepresvedčili o tom, že by ste naozaj mali nasadiť protokol HTTPS, možno vám pomôže toto. Koniec koncov, z hľadiska SEO je jednoducho lepšie mať HTTPS a dokonca aj spoločnosť Google to zdôrazňuje ako faktor hodnotenia pri zaraďovaní stránok.

Áno, drvivá väčšina lokalít má dnes nasadený protokol HTTPS, takže to nie je tak, že by ste zrazu prekonali konkurenciu, ale na druhej strane by ste si nezavedením protokolu HTTPS podrážali nohy.

Vaša stránka by bola v očiach vyhľadávačov a čitateľov menej dôveryhodná a časom začnú prehliadače priamo upozorňovať čitateľov na návštevu nezabezpečených stránok ešte pred ich zobrazením. To sa dnes v niektorých prípadoch deje a naozaj to vyzerá strašne hlúpo a typický človek pri týchto varovaniach pred nebezpečenstvom jednoducho odíde z webu, pretože to vyzerá, že máte na webe vírus alebo že web jednoducho nefunguje.

Aj keď nechcete vedieť nič o HTTPS, už len táto skutočnosť by mala byť dostatočným dôvodom na to, aby ste pri vytváraní blogu urobili tento krok. Okrem toho odporúčam nič neodkladať, pretože riešenie prechodu na už fungujúcom webe je zložitejšie a vyžaduje si dôkladnejšiu kontrolu, či všetko prebehlo naozaj v poriadku. Ak to vyriešite teraz (čo zvyčajne trvá niekoľko minút), budete mať v budúcnosti menej starostí.

Značky
EXPRESSINFO21. marca 2022
4minútové čítanie

Podobné články

Aký je rozdiel medzi modemom a smerovačom

Aký je rozdiel medzi modemom a smerovačom (routerom)?

8. decembra 2022
Rozdiel medzi naftou a benzínom a (ne)výhody oboch palív

Rozdiel medzi naftou a benzínom a (ne)výhody oboch palív

22. novembra 2022
Ako a prečo začať blog na WordPress

Ako a prečo začať blog na WordPress

7. novembra 2022
Aký je rozdiel medzi vrtuľníkom a helikoptérou

Aký je rozdiel medzi vrtuľníkom a helikoptérou?

4. novembra 2022
Back to top button