Hlavní navigace

HTTPS není jen rozmar Googlu. Letos už vás přechod na něj nemine

Zdeněk Vesecký

Během příštích měsíců bude prakticky nezbytné přejít na zabezpečení HTTPS. Kdo tak učiní, zabije hned dvě mouchy jednou ranou.

Doba čtení: 7 minut

Provozovatelé webů, kteří mají své stránky zabezpečené SSL/TLS certifikáty, dávají najevo, že jim nejsou lhostejní jejich zákazníci, což bezesporu oceňují nejen oni, ale také Google a zároveň mají jistý náskok při splňování povinností vyplývajících z evropského nařízení GDPR.

HTTPS komunikace je podmínkou pro některé nové funkce prohlížečů a v neposlední řadě posiluje SEO faktor webových stránek. Vyhledávač Google už od roku 2015 upřednostňuje výsledky vyhledávání z webů se zabezpečeným protokolem HTTPS. Přesto to spousta provozovatelů internetových obchodů a firemních webů nereflektuje a bez ohledu na SEO svůj byznys dál provozuje na rizikovém HTTP. Zatím Google u stránek HTTPS zobrazuje zelenou ikonu zámku, v případě HTTP pak jen neutrální ikonu. Od července 2018 ale ve své snaze donutit provozovatele webů k přechodu na HTTPS přitvrdí. Uživatelům, kteří vstoupí na nezabezpečené stránky, se v adresním řádku navíc zobrazí varující upozornění, v jakém prostředí se nacházejí.

Samotný Google kdysi uvedl, že HTTPS má pro výsledky vyhledávání velmi malou váhu a ovlivňuje zhruba procento dotazů. Přecházet na něj jen kvůli SEO by tedy bylo téměř zbytečné. Kvůli varování uživatelů už to ale smysl má, protože každý člověk rád pošle informace o sobě nebo nakoupí tam, kde bude více bezpečno. A je tu ještě jeden důvod, který bude aktuální ještě o měsíc dříve. Od 25. května totiž vstoupí v účinnost GDPR.

Psali jsme: E-shopaři, přechod na HTTPS má smysl. Čtěte, co si však musíte ohlídat

Šifrovaná komunikace podle GDPR

SSL/TLS otevřený protokol a jedna z nejvíce používaných metod pro zabezpečení datových přenosů v rámci internetu mezi serverem s webovou prezentací a prohlížečem. Zabezpečuje tedy internetové spojení například mezi zákazníkem (jeho prohlížečem) a obchodníkem (webem, na kterém prohlížená stránka nebo e-shop funguje). Prostřednictvím šifrování chrání před zneužitím třeba zadané přihlašovací údaje, informace o platebních kartách a zabraňuje nežádoucím úpravám přenášených informací. Dalo by se namítnout, že spojení GDPR a SSL/TLS certifikátů není zcela správné, protože evropské nařízení o ochraně osobních údajů hovoří o správcích a zpracovatelích a certifikace primárně slouží k zabezpečení dat na cestě mezi serverem a prohlížečem. Neřeší možné zneužití dat uložených u správců či zpracovatelů. Protokol TLS neovlivňuje, jak jsou data ukládaná a zpracovávána v databázi. Zde již záleží na konkrétním technickém řešení aplikace a zabezpečení serverů. V tomto případě se často hovoří o pseudonymizaci a šifrování osobních údajů. Toto však v GDPR není povinné a technická správa větší šifrované databáze není jednoduchá a levná záležitost, upozorňuje specialista na zabezpečení přenosu dat Petr Komárek ze služby SSLmentor.cz. Své opodstatnění má ale už i samotný bezpečný přenos dat.

článku 32 GDPR se sice mluví o provedení vhodných technických a organizačních opatření, která zajistí zabezpečení odpovídající danému riziku například formou šifrování osobních údajů, což je možné zajistit právě používáním HTTPS. Nejde ale o povinnost, v tomto případě se jedná o doporučení evropských zákonodárců. Pokud bude SSL/TLS certifikát provozovateli webu chybět, nedopustí se tím přestupku. Jeho implementace ale nebude na škodu ani podle českého Úřadu pro ochranu osobních údajů, který tuto certifikaci zmiňuje ve svých zásadách ochrany osobních údajů: Buďte opatrní při zasílání vašich osobních údajů pomocí elektronických prostředků. Mějte vždy na paměti, že komunikační kanály mohou být „odposlouchávány“ neoprávněnou osobou. Pokud již musíte takovou formu přenosu použít, využívejte v co největší míře standardní prostředky šifrování nebo certifikace (ssl protokoly, podpisové certifikáty nebo jednorázová zabezpečovací hesla), stojí v bodě 9 těchto zásad.

Pokračujte na: Jak dopadne nová regulace GDPR na české e-shopy a weby?

E-shopy bez SSL certifikátu jsou rizikové

HTTPS nebude z hlediska GDPR povinné, rozhodně ne pro všechny. Jedná se pouze o doporučení pro ty, u kterých je zvýšená míra rizika. Je ale nutné zmínit, že nešifrované HTTP nese jistou míru rizika vždycky. Obecně všechny stránky, které od svých uživatelů sbírají jakékoliv informace, byť jen formou kontaktního formuláře, by proto měly používat HTTPS. U e-shopů to pak logicky platí dvojnásobně, říká Antonín Kozan, zástupce společnosti Alpiro, která nabízí certifikace na webu ssls.cz. SSL/TLS certifikát je podle něj, a v dlouhodobém časovém horizontu dál bude, dostatečným technickým opatřením pro zabezpečení informací přenášených mezi klientským počítačem a serverem. Podnikatelé by měli od dodavatelů webových stránek už automaticky vyžadovat podporu HTTPS protokolu, a to i když nezabezpečují citlivou komunikaci. I ty nejjednodušší firemní stránky mají totiž většinou alespoň jeden kontaktní formulář, a pokud bude nezabezpečený, budou stránky označené jako nedůvěryhodné, doplňuje Petr Komárek, který je přesvědčen, že dnes už nemá smysl řešit, jestli HTTPS ano, nebo ne a co by se bez něj případně mohlo stát, ale hlavně to, jak tento protokol na firemní stránky nasadit.

Nezabezpečené HTTP spojení je možné jednoduše odposlouchávat a snadno zjistit mimo jiné i to, které konkrétní webové stránky uživatel navštívil. Už to může pro mnoho uživatelů představovat vážné narušení soukromí. Pokud se pak jedná o e-shop a tedy o ještě citlivější osobní údaje, jakými jsou jména, hesla, adresy, e-mailové adresy, nebo dokonce čísla platebních karet, pak je pořízení SSL certifikátu a přechod na HTTPS nezbytným krokem. Rizikem u nezabezpečeného HTTP samozřejmě není jen odposlech a získání osobních údajů, ale i možné podvržení obsahu. Hrozí například to, že se zákazníkovi e-shopu po odeslání objednávky zobrazí falešné číslo účtu pro platbu za objednané zboží či služby. Proto se o to, aby veškerý provoz na internetu běžel přes HTTPS, zasazuje nejen Google, ale i Mozilla, Facebook a další.

V minulosti jste mohli číst: E-shopy, které nepřešly na HTTPS, mohou mít problémy s měřením u Zboží.cz

SSL je jen zažitý název, překonanou formu je nutné zmodernizovat

Certifikáty mají řadu verzí. V podvědomí širší veřejnosti jsou zapsány jako SSL, ale tato verze je už překonaná. Dnes mluvíme spíše o TLS a také o EV certifikátech. Některé jsou k dostání zdarma, jiné jsou zpoplatněné. Pro který se tedy rozhodnout? Pro zajištění bezpečného přenosu dat je dostačující jakýkoliv SSL/TLS certifikát a opravdu nezáleží, od jaké důvěryhodné certifikační autority je. Rozlišení certifikátů nastává až v okamžiku ověření identity žadatele o certifikát. Na jednu stranu sice free a zpoplatněné verze mohou zajišťovat stejně silné šifrování komunikace, na druhou stranu je třeba mít na paměti, že co je zdarma, má obvykle i svá omezení a rizika. Podle Antonína Kozana může být příkladem předloňský incident s SSL certifikáty zdarma od StartCom, které ztratily důvěru, a jimi zabezpečené webové stránky fakticky přestaly fungovat: Mnoho obchodníků se tak dostalo do situace, kdy se jejich zákazníkům namísto obsahu webových stránek začalo náhle zobrazovat varování o nedůvěryhodném SSL certifikátu. A taková situace pro obchodníka není dobrou vizitkou. Kvalitní důvěryhodný SSL certifikát lze přitom pořídit na celý rok levněji než jednu pizzu.

Mezi SSL certifikáty je několik zásadních rozdílů například v tom, zda zabezpečují pouze jednu doménu nebo více domén či subdomén, ale i v tom, zda v nich jsou či nejsou zapsány informace o organizaci (provozovateli serveru). Konkrétně provozovatelé e-shopů by určitě měli zvážit využití nejdůvěryhodnějších EV (Extended Validation) SSL certifikátů, které umožňují zobrazení názvu firmy v adresním řádku internetového prohlížeče pro zvýšení důvěry e-shopu, radí Petr Komárek z SSLmentor.cz. Ty nejlevnější nebo zdarma dostupné se ověřují pouze zaslaným e-mailem na adresu domény. Žadatel o firemní a „zelený“ EV certifikát je důkladně ověřován certifikační autoritou a název firmy je uveden v certifikátu. Díky tomu je možné si potvrdit, že opravdu komunikujeme s firmou provozující webové stránky.

SSL certifikát tedy není jen o šifrování, ale i o důvěryhodnosti. V samotném šifrování se pak SSL certifikáty mohou lišit podle toho, jaké používají klíče, respektive šifrovací algoritmy. Nejčastěji je používán 2048-bit RSA klíč, který je považován za standard a poskytuje dostatečně silné šifrování. Některé SSL certifikáty umožňují použití až 10 000×t silnějších ECC klíčů, které jsou přitom mnohem kratší a mají nižší výpočetní nároky, uvádí Antonín Kozan z Alpiro.

EBF 2018 tip v článku řečníci

Co se týče protokolů SSL a novějšího TLS, jedná se laicky řečeno o to samé a z pohledu uživatele bez zásadních rozdílů. Z hlediska bezpečnosti je ale doporučeno používat vždy nejnovější stabilní verze protokolu TLS a vypnout starší verze, zejména SSL 3 a starší, u kterých byly zjištěny vážné zranitelnosti. Respektované sdružení Payment Card Industry SSL certifikáty k 30. červnu 2018 vyřadí ze svých standardů. Letos se s ním tedy zcela rozloučíme, a to včetně protokolu TLS verze 1.0. Nejnovějším nástupcem je rychlejší a bezpečnější protokol TLS 1.3, který by měl být oficiálně vydán v první polovině tohoto roku.

Oba oslovení specialisté se také shodují, že přechod na HTTPS není až tak složitý, jak se o něm traduje. Problémy mohou nastat u webů o tisíci stránkách, ale i v tomto případě existují nástroje a postupy, jak přechod hladce zvládnout. Poskytovatelé certifikátů pak i naprostým laikům pomohou s výběrem správného zabezpečení jejich rozdělením do sekcí.