Co čeká provozovatele webů v blízké budoucnosti: HTTP jinak

Článek byl vydán 31.7.2016, upraven 24.4.2020 • Autorem je Vlastimil Ott

Zabezpečený web aneb Tajemný https

Blíží se doba, kdy bude muset být každý e-shop provozován s adresou (protokolem) https. Proč „bude muset“? To „s“ v „https“ znamená „secured“, zabezpečený. Na shopech jde o osobní údaje zákazníků a jejich chování, což jsou cenné informace, které podléhají zákonné ochraně. Sami jsme také zákazníci, takže bezesporu dovedeme pochopit, proč je lepší, aby e-shop fungoval bezpečněji než dosud.

Spojení přes protokol https přinese změnu ve dvou rovinách:

• data se přenášejí šifrovaně a při zachycení v síti je nelze „rozklíčovat“ a rozumět jim – to je opak současné situace, kdy se data přenášejí jako běžný text, takže v běžné kanceláři si můžete s trochou práce číst data (tedy i jména, hesla, osobní údaje), která létají vzduchem,
• potvrzení identity webu prostřednictvím certifikátu, který je potřeba pro správné fungování https; je to soubor, který vám pro konkrétní web vydá certifikační agentura a který garantuje, že váš web je skutečně tím, za co se vydává

Certifikáty jsou placené a můžou být docela drahé. Proto vznikla aktivita Let’s Encrypt, kde můžete získat certifikát zdarma. Většina českých hostingů je již nasadila. Ale přechod z http na https není jen na kliknutí tlačítka. Na druhou stranu to ale není nic strašlivého. Jen je potřeba se na to připravit.

Přečtěte si více

• Co si pohlídat při přechodu na HTTPS?
• HTTP to HTTPS: An SEO’s guide to securing a website (anglicky)
• 11 Important things you need before you setup WordPress SSL/TLS (anglicky)

Rychlejší web aneb Zatím neznámý http/2

Novinkou (na rozdíl od https) je protokol http/2 neboli http nové generace. Aby mohl správně fungovat, potřebuje certifikát, takže jeho součástí je vlastně to zabezpečení zmiňované výše. Je zpětně kompatibilní s http, takže není potřeba přepisovat nebo měnit webové stránky a aplikace – změna musí proběhnout na serveru (aktivovat http/2 a zajistit dostupnost certifikátů). Klíčovou novinkou ale je, že http/2 je na rozdíl od http binární a že přenáší data paralelně. To znamená, že stránky se načítají mnohem rychleji.

(Poznámka k certifikátu. Technická norma certifikát nevyžaduje, ale výrobci prohlížečů hned prohlásili, že budou podporovat jen variantu s certifikátem, což můžeme chápat jako tlak na zabezpečení internetové komunikace jako celku.)

Protokol musí být podporován prohlížeči a webovým serverem (Apache, Nginx). Od začátku roku 2016 deklarují svou podporu všechny důležité aplikace, takže nasazení na weby technicky skoro nic nebrání!

Pamatujte na to, že rychlost webu a zabezpečení přes https hodnotí pozitivně nejen Google, ale také uživatelé.

Přečtěte si více

• Jak funguje nový protokol HTTP/2 (root.cz)
• HTTP/2 (Wikipedia.org)
• HTTP/2 Frequently Asked Questions (http2.github.io)