Přejděte v roce 2017 na HTTPS, není na co čekat
26. 1. 2017 | Jindřich Zechmeister
Začátek nového roku, který nyní prožíváme, bývá ve znamení předsevzetí. Snažíme se naplánovat důležité kroky, které chceme v novém roce vykonat. Pro správce webu by jedním z podobných úkolů měl být přechod na HTTPS, protože už není co odkládat. Důvody pro přechod na HTTPS jsou trojí - bezpečnost, HTTP/2 a webové prohlížeče. Pojďme se na ně postupně podívat.
HTTPS spolu s HTTP/2 přinesou vašemu webu rychlost
První důvod - bezpečnost komunikace
Zabezpečení dat šifrováním opravdu není výsadou bank, jak tomu bylo v 90. letech. Dnes se už nerozlišují weby na ty, které sbírají citlivá data (typicky internetbanking), a na ty ostatní, kde je to jedno (tzn. kdokoliv je může odposlouchávat). Ani zpátečnické nasazování certifikátů na přihlašovací dialogy místo celého webu není dobrou praxí. Každý nový projekt "jede" na HTTPS a starším je třeba možnost šifrování dodat. Až od vašeho administrátora uslyšíte známé Na co certifikát, vždyť je to jen magazín (nebo web bez plateb), pošlete mu tento článek.
Přístup Nemám co skrývat, proč bych tedy šifroval, taky není správnou cestou. Bezpečnost používání internetových služeb je v současnosti pouze na základní úrovni (mnohdy ani to ne), proto ji nelze srovnávat s kroky paranoika. SSL/TLS certifikáty zajišťují základní ochranu dat při přenosu a rozhodně nejsou cílem, ale pouze prostředkem k dosažení bezpečných služeb. Na ty navazuje bezpečnost uložení dat, bezpečnost aplikací a jejich odolnost proti útokům.
Při vyslovení slova "šifrování" se vám jistě vybaví Edward Snowden a "trojpísmenné" vládní agentury, o jejichž sledování uživatelů internetu se neustále diskutuje. Možnost shromažďování dat a sledování uživatelů je reálná hrozba a skutečně se tak děje. Nemusíte být přímo internetový aktivista, který šifruje veškerou komunikaci, nevěří žádné službě 3. strany a všechny šifrovací klíče má ve svém držení. Na druhou stranu proč by někdo jiný na internetu měl vědět, co si píšete s manželkou, kde a co nakupujete, nebo vědět, že si chcete vzít hypotéku? Nepříjemné je taky pozměňování obsahu přenášených stránek, pod čímž si můžete představit do stránek přidané reklamy, které jsou zvláště oblíbené u aerolinek (nebo si rovnou představte škodlivý malware).
Zabezpečení na základní úrovni pomocí SSL/TLS protokolu už nemůže být dostupnější; proto se mu nebraňte jako uživatel, ale zejména jako zodpovědný provozovatel webu.
Druhý důvod - protokol HTTP/2 nahrazující HTTP
Protokol HTTP/2, který už naši čtenáři dobře znají, je nástupce zastaralého HTTP 1.1. V současnosti používaný protokol pro přenos stránek pochází z 90. let a pro weby s dnešními nároky naprosto nedostačuje. U komplexního webu jeden návštěvník vytváří desítky HTTP spojení na různé zdroje. V původní verzi HTTP 1.0 se prohlížeč neustále připojoval a odpojoval k serveru, stejně jako to dělal uživatel se svým vytáčeným připojením k internetu. V další verzi HTTP 1.1, kterou používáme dodnes, se už prohlížeč neodpojuje, ale před položením dalšího dotazu čeká na dokončení odpovědi. To vede k mnoha paralelním spojením k serveru.
Hlavní devízou nástupce HTTP/2 je lepší práce se spojeními a binární přenos dat. HTTP/2 vytvoří mezi prohlížečem a serverem jedno TCP spojení (návrat k myšlence HTTP 1.0). Data posílá v tomto proudu nezávisle na předchozí odpovědi (kvůli jednomu nevyřízenému dotazu se nezpozdí ostatní) a binárně místo dřívějšího textového formátu. V důsledku to znamená až několikanásobně rychlejší načítání webových stránek a lepší práci se zdroji serveru. Nakonec můžete se o tom přesvědčit sami na jednom z mnoha praktických srovnání HTTP/2 vs. HTTP.
Méně známým faktem je plné šifrování HTTP/2 protokolu. Byť to nevychází přímo z jeho definice, tak všechny prohlížeče budou používat HTTP/2 pouze šifrované. Certifikátu na webu se tedy nevyhnete, protože ho bude nový protokol pro prohlížení stránek potřebovat. I kvůli tomu existují bezplatné certifikáty jako Basic DV u CZECHIA.com. Slouží k nahrazení HTTP protokolu a pro weby vyžadující důvěryhodnost a možnost autentizace volí jeho provozovatel certifikát komerční z nabídky SSLmarket.cz.
Třetí důvod - webové prohlížeče
Právě prohlížeče jsou místem setkání uživatele internetu s certifikáty a šifrováním. Prohlížeč je v mnohém zodpovědný za bezpečnost svého uživatele na internetu a není proto náhoda, že výrobci prohlížečů úzce spolupracují s certifikačními autoritami a zasazují se o rozvoj šifrování. Zastoupení Google, Apple, Mozilly a Microsoft v CAB fóru potvrzuje jejich úzkou spolupráci.
Prohlížeče musí respektovat aktuální doporučení kryptografických odborníků a používat jen takové technologie, které jsou dostatečně bezpečné. Z důvodu zastarávání používaných metod se jednou za několik let zvyšují nároky; naši čtenáři si určitě pamatují přechod z 1024bitových na 2048bitové klíče nebo nedávný přechod z SHA-1 na SHA-2 hash algoritmus.
Výrobci ve svých produktech provádí nelehkou volbu mezi úrovní bezpečnosti a mírou uživatelského komfortu. Naštěstí začíná svítat na lepší časy a práce prohlížečů s certifikáty se zjednodušuje (viz lednový Chrome 56 a jeho nové tři indikátory). Prohlížeč Chrome umí uživatele upozornit na nezabezpečený formulář, který odešle přihlašovací heslo nebo platební údaje nešifrovaně přes HTTP. Firefox bude tuto funkci podporovat v brzké době. Jak Chrome tak Firefox inklinují k maximálnímu omezení HTTP; očekávám, že během roku 2017 dojde k penalizaci nešifrovaných webů v těchto prohlížečích a u webu bez certifikátu prohlížeč zobrazí červené HTTP. Určitě nechcete, aby vám z webu nebo e-shopu odcházeli zákazníci kvůli absenci SSL certifikátu, který můžete u hostingu CZECHIA.com zapnout jedním kliknutím.
Možná si říkáte, že jsou tyto kroky prohlížečů zbytečné a agresivní. Může se to zdát, ale jednou je potřeba vykročit vstříc bezpečnému internetu. Silné autority musí donutit zbytek trhu ke změně, jinak bychom stáli na stále stejném místě a používali děravé Windows XP s naivním zabezpečením pomocí SSLv2/3 a MD5.
Více informací:
- Root.cz - Jak funguje nový protokol HTTP/2
- Google Security Blog - Moving towards a more secure web
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz