10 kroků nutných pro převod webu z HTTP na HTTPS

23. 7. 2018 | Jindřich Zechmeister

Nasazení SSL/TLS certifikátu na web a jeho zabezpečení je nevyhnutelné, ale není složité. Je však vhodné postupovat obezřetně a zvážit všechny související aspekty. Dnešní článek by měl čtenářům pomoci při nasazení certifikátu na web tak, aby zabezpečení webu zvládli bez komplikací.

Krok první - zhodnoťte bezpečnostní rizika na stránce

V prvním kroku je vhodné prozkoumat všechny adresy webu (URL) a přesvědčit se, že mohou pracovat s protokolem HTTPS a dokážete je v případě potřeby změnit. Upravit odkazy samotného webu je poměrně jednoduché a zvládnete to s pomocí webmastera; pokud jsou odkazy relativní (viz pátý krok), tak není potřeba odkazy upravovat vůbec. Pokud ve zdrojovém kódu webu používáte v odkazech "natvrdo" HTTP, tak je potřeba požádat webmastera o změnu odkazů přímo v databázi.

Kromě vlastního obsahu je nutné prověřit externí obsah a vše, co na web načítáte zvenčí. Zde musí fungovat HTTPS na straně zdroje obsahu a to nemusí být vždy samozřejmostí. Pokud by HTTPS nebylo dostupné, tak narazíte na problém smíšeného obsahu, který je tématem pátého kroku.

Při analýze webu byste měli zhodnotit i všechny externí nástroje, pluginy a rozšíření. Vyřaďte ty, které nutně nepotřebujete. Preferujte otevřené Opensource řešení a nepoužívejte doplňky, které nejsou pravidelně aktualizované a tudíž nemají opravené bezpečnostní díry.

Krok druhý - proveďte zálohu

Zálohu byste měli provést před každou vážnější úpravou webu a tedy i před nasazením certifikátu. Teoreticky se nemá co pokazit, ale Murphyho zákony jistě znáte a je lepší mít jistotu. Zálohování doporučujeme konzultovat s vaším webhostingem či administrátorem; ze strany poskytovatele bývá záloha i obnova ze zálohy hračka, protože disponuje automatizovanými nástroji. Administrátor nebo webmaster může web zálohovat manuálně.

Krok třetí - vyberte správný certifikát

Získání certifikátu je snadné. Vyberete si na SSLmarket.cz certifikát podle způsobu ověření, míry autentizace a ceny. I pokud si vyberete nejlevnější SSL/TLS certifikát jako RapidSSL, neuděláte chybu a web bude důvěryhodně zabezpečen. Pokud potřebujete při výběru poradit, neváhejte využít průvodce výběrem SSL/TLS certifikátu. Chcete-li mít vedle adresního řádku zelený název vaší společnosti (jako to vidíte na www.SSLmarket.cz), vyberte rozhodně EV certifikát s rozšířeným ověřením.

S jakýmkoliv SSL/TLS certifikátem z nabídky SSLmarket bude web plně důvěryhodný ve všech prohlížečích a návštěvníci nebudou dostávat žádné chybové hlášky či varování.

Krok čtvrtý - získejte a nasaďte SSL/TLS certifikát

Nově vystavený SSL/TLS certifikát dostanete e-mailem a poté můžete přistoupit k instalaci. Pokud ji budete dělat sami, tak určitě oceníte postupy v naší nápovědě SSLmarketu.

K instalaci potřebujete přístup na server a je vhodné, aby ji provedl administrátor, který s ním má zkušenosti. Mohou se totiž objevit komplikace vedoucí například k nefunkčnosti webového serveru.

Správný webhoster vám umožní certifikát nasadit přes administraci služeb - například webhosting CZECHIA.COM umožňuje bezplatný nebo komerční certifikát nainstalovat na server jedním kliknutím. Proč toho nevyužít?

Krok pátý - odstraňte smíšený obsah

Smíšený obsah je vše, co se na stránku načítá přes nezabezpečený protokol HTTP. U statických prvků jakou jsou obrázky jde o narušení šifrování webu a prohlížeč zobrazí varování. Pokud se jedná o prvky aktivní, jako například skripty, tak je většina současných prohlížečů bude blokovat. Smíšený obsah tedy znamená, že buď bude návštěvník v prohlížeči vidět bezpečnostní varování a jeho důvěra a bezpečnost bude narušena, nebo daný prvek bude blokován, na webu ho neuvidí a bude to vadit použitelnosti webu.

Firefox varuje na smíšený obsah ikonou vedle adresního řádku

Firefox varuje před smíšeným obsahem ikonou vedle adresního řádku

Při vkládání všech prvků do webové stránky používejte relativní URL adresy a nespecifikujte protokoly HTTP či HTTPS přímo v HTML odkazech.

Krok šestý - dodržujte shodu s bezpečnostními standardy

SSL/TLS certifikát na webu je pouze nástrojem k dosažení bezpečnosti návštěvníka. Sám o sobě nedeterminuje sílu zabezpečení webu. Proto je důležité dodržovat aktuální bezpečnostní doporučení a standardy.

Příkladem správné praxe je vypnutí starých SSL protokolů, které jsou považovány za nebezpečné, a používání pouze bezpečných nástupců označovaných jako TLS protokoly. Stejně důsledně je potřeba přistupovat k nastavení šifer na vašem serveru. Špatné nastavení může zcela degradovat bezpečnost webu a certifikát je pak zbytečný.

Sledovat a posuzovat aktuální bezpečnostní hrozby a trendy je náročné a prakticky žádný běžný majitel webu na to nemá čas. Správci alespoň sledují aktuální dění v oblasti bezpečnosti. Proto je dobré využít nástroj, který to kvalifikovaně vyřeší za vás - například test SSLlabs.com. Test ukáže stav zabezpečení webu a velice přesně ukáže na slabiny, které je třeba vyřešit. S tímto nástrojem je bezpečné nastavení webu hračka.

Krok sedmý - přesměrujte HTTP na HTTPS

Přesměrování HTTP na HTTPS je po instalaci certifikátu nejdůležitější krok. Přesměrování je potřeba udělat manuálně (nebude fungovat automaticky po nasazení certifikátu) a stačí tento úkol zadat vašemu správci serveru, nebo požádat svůj webhosting.

Pokud by k přesměrování nedošlo, tak budou návštěvníci využívat HTTP (pokud si ručně nedopíší do adresy HTTPS) a certifikát by byl na webu víceméně zbytečný. Z pohledu SEO je přesměrování pomocí 301 status code povinností, jinak bude Google vidět dvě stejné varianty vašeho webu a hodnocení stránek se bude štěpit mezi ně.

Krok osmý - nasaďte HSTS 

HSTS je zkratka pro mechanismus HTTP Strict Transport Security. Jedná se o rozšíření HTTP hlavičky, které zajistí zabezpečení veškeré komunikace přes HTTPS. Laicky řečeno po nasazení HSTS už nebude možné se na web "dostat" přes nezabezpečený HTTP protokol.

Používání HSTS vyžaduje dobrý management certifikátů, protože pokud na webu například certifikát expiruje, uvidí tuto chybu všichni vaši návštěvníci. Zákazníci SSLmarket.cz jsou na expiraci certifikátů upozorňování jednou měsíčně souhrnným výpisem, následně několikrát u daného certifikátu a mohou si nastavit autorenew s automatickým uhrazením. Tím se maximálně předejde problému s expirací. Samozřejmě nesmí správce prodloužený certifikát zapomenout nasadit!

Spolu s mechanismem HSTS je často zmiňována doplňková technologie HPKP. Jedná se o veřejné definování klíčů (tedy certifikátů), které mohou být pro web použity. Mohou být i přidány do seznamu domén dostupných přes HSTS v samotném internetovém prohlížeči. V praxi je to velice nebezpečný nástroj. Jeho používání rozhodně nedoporučujeme, protože můžete zcela znefunkčnit váš web na dobu, pro kterou hlavičky platí. Typicky se platnost nastavuje pro 31536000 sekund, což je jeden rok (!).

Krok devátý - zabezpečte cookies

Zabezpečte cookies, které váš web používá. Cookies je výraz, který jistě znáte z otravných lišt skoro všech webů, které na internetu potkáte. Jedná se o malé soubory, ve kterých je uložena informace o návštěvníkovi a jeho identifikace.

Je nutné, abyste na straně serveru zařídili používání bezpečných cookies. To zaručí příznak “HttpOnly” a “Secure”; bezpečná cookie znamená, že je ke klientovi přenesena pomocí HTTPS a obsah nemůže být odposlechnut. Jako další úroveň zabezpečení je možné nasadit zašifrování cookies. Na straně návštěvníka již nebudou uloženy jako prosté textové soubory, ale budou zašifrované. Tím zamezíte krádeži přihlášení některého z uživatelů webu.

Krok desátý -  používejte jeden tvar URL a zkontrolujte SEO nástroje

V sedmém kroku jste zavedli přesměrování stránek z HTTP na HTTPS. Nebylo to pouze kvůli bezpečnosti, ale také kvůli SEO. Jedna stránka dostupná na HTTP i HTTPS zároveň je pro vyhledávače dvojí samostatný obsah (logicky duplicitní). A to rozhodně není dobře. Podobný problém je fungování webu na holé doméně a doméně s WWW; i tato duplicita musí být odstraněna přesměrováním. Duplicitní stránky dokonce vznikají i při přítomnosti či absenci lomítka na konci URL (například Wordpress a jiné publikační systémy).

Pro Google Analytics, který na webu jistě používáte, se může web na HTTP a HTTPS jevit jako dvě různé hostname, což má dopad na SEO a použitelnost Google Analytics. Stejně jako pro tvar nazev-domeny.cz a www.nazev-domeny.cz. Po zavedení přeměrování z HTTP na jeden tvar URL s HTTPS proveďte kontrolu, zdali vámi používané SEO nástroje používají pouze jeden tvar domény.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz