HTTP vs HTTPS
HTTP (anglicky HyperText Transfer Protokol) je laicky řečeno způsob, jakým webový prohlížeč (který máte teď před sebou) komunikuje se vzdáleným počítačem (serverem). Komunikace přes HTTP je však otevřená a přenášené informace může po cestě mezi prohlížečem a serverem kdokoliv číst, včetně hesel a dalších citlivých údajů, například z kontaktního formuláře.
Aby se takovému odposlechu zabránilo, byl vyvinut HTTPS ("S" na konci znamená Secured, zabezpečený) protokol, který veškeré informace mezi prohlížečem a serverem přenáší v zašifrované podobě.
Co s tím má společného SSL certifikát?
SSL certifikát je základním kamenem pro HTTPS zabezpečení komunikace mezi webovým prohlížečem a serverem.
Pokud na serveru nemáte nainstalován důvěryhodný SSL certifikát, pak se uživateli namísto webové stránky zobrazí nepříjemné varování (viz. obrázek).
Aby taková situace nenastala, potřebujeme důvěryhodný SSL certifikát podepsaný důvěryhodnou certifikační autoritou (CA). Mezi nejznámější celosvětově uznávané certifikační autority patří:
Kdy je nutné použít HTTPS?
Dříve platilo, že použít zabezpečeného připojení přes HTTPS je povinností každého provozovatele webových stránek, kde se od uživatele vyžadují jakékoliv citlivé údaje (například přihlášení). Nyní se to ale týká všech webových stránek.
Od července 2018 totiž prohlížeč Chrome zobrazuje varování "Nezabezpečeno" ("Not Secure") u všech webových stránek na nezabezpečeném protokolu HTTP. Upozornění "Nezabezpečeno" se zobrazuje na všech stránkách, které nepoužívají HTTPS, nikoliv jen na stránkách s formulářem.
Nejvíce kritické je zabezpečení u:
- všech e-shopů (internetových obchodů) a všude tam, kde přijímáte objednávky,
- citlivých údajů — kromě jména a hesla třeba i kontaktní formulář,
- přijímání platebních karet a jiných peněžních transakcí,
- všude tam, kde se předpokládá vysoká důvěryhodnost (úřady, školy, banky, …)
- a všude tam, kde je (mj. například zákonem) vyžadováno zabezpečení důvěrných nebo jinak citlivých informací.