Zabezpečení webu protokolem HTTPS

Ochrana webu a uživatelů

Co je to HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) je internetový komunikační protokol, který chrání integritu a důvěrnost dat mezi počítačem uživatele a webem. Uživatelé při používání webu očekávají bezpečí a soukromí. Bez ohledu na obsah vašeho webu vám doporučujeme chránit připojení uživatelů k němu pomocí protokolu HTTPS.

Data odeslaná pomocí protokolu HTTPS jsou zabezpečena prostřednictvím protokolu TLS (Transport Layer Security), který poskytuje tři hlavní vrstvy ochrany:

  1. Šifrování: Šifruje přenesená data, aby byla ochráněna před odposlechem. To znamená, že když uživatel prohlíží webové stránky, nikdo nemůže „odposlouchávat“ jeho konverzaci, sledovat aktivitu na stránkách ani ukrást jeho údaje.
  2. Integrita dat: Data během přenosu nelze pozměnit ani poškodit (ať záměrně, nebo jinak), aniž by to nebylo zjištěno.
  3. Ověření: Potvrzuje, že uživatelé komunikují s požadovanými webovými stránkami. Poskytuje ochranu proti útokům typu man-in-the-middle a posiluje důvěru uživatelů, což firmám přináší další výhody.

Doporučené postupy při implementaci HTTPS

Použijte silné bezpečnostní certifikáty

V rámci aktivace protokolu HTTPS pro svůj web musíte získat bezpečnostní certifikát. Tento certifikát vydává certifikační autorita (CA), která prověřuje, zda webová adresa skutečně patří vaší organizaci, a tím zákazníky chrání před útoky typu man-in-the-middle. Při nastavování certifikátu použijte 2048bitový klíč, aby byla zajištěna vysoká úroveň zabezpečení. Pokud již máte certifikát se slabším klíčem (1024bitovým), upgradujte jej na 2048 bitů. Když pro web vybíráte certifikát, berte ohled na následující doporučení:

  • Certifikát získejte od důvěryhodné certifikační autority, která poskytuje technickou podporu.
  • Rozhodněte, jaký typ certifikátu potřebujete:
    • jediný certifikát pro jeden bezpečný zdroj (např. www.example.cz),
    • multidoménový certifikát pro několik známých bezpečných zdrojů (např. www.example.cz, cdn.example.cz, example.co.uk),
    • certifikát se zástupným znakem pro bezpečný zdroj s mnoha dynamickými subdoménami (např. a.example.com, b.example.com).

Používejte přesměrování 301 na straně serveru

Přesměrovávejte uživatele a vyhledávače na stránku nebo zdroj HTTPS pomocí přesměrování s kódem protokolu HTTP 301.

Zkontrolujte, zda Google vaše stránky HTTPS může procházet a indexovat

  • Neblokujte stránky HTTPS pomocí souborů robots.txt.
  • Nepřidávejte na stránky HTTPS metaznačky noindex.
  • Pomocí nástroje Načíst jako Google otestujte, zda má Google k vašim stránkám přístup.

Podporujte HSTS

Doporučujeme, aby weby HTTPS podporovaly HSTS (HTTP Strict Transport Security). HSTS prohlížeči sděluje, že má automaticky požadovat stránky HTTPS, i když uživatel do adresního řádku zadá http. Rovněž Googlu sděluje, že má ve výsledcích vyhledávání zobrazovat zabezpečené adresy URL. Minimalizuje se tak riziko zobrazování nezabezpečeného obsahu uživatelům.

Chcete-li podporovat HSTS, použijte webový server, který tento bezpečnostní mechanismus podporuje, a aktivujte jej.

HSTS zlepšuje zabezpečení, ale zvyšuje také složitost strategie pro vrácení do předchozího stavu. Doporučujeme aktivovat HSTS takto:

  1. Nejdříve stránky HTTPS implementujte bez HSTS.
  2. Začněte odesílat záhlaví HSTS s krátkou dobou platnosti (max-age). Sledujte návštěvnost od uživatelů a dalších klientů a také výkon závislých prvků, jako jsou reklamy.
  3. Pomalu dobu platnosti HSTS prodlužujte.
  4. Pokud HSTS na uživatele a vyhledávače nebude mít negativní dopad, můžete požádat o přidání webu na seznam předběžného načítání HSTS.

Zvažte použití předběžného načítání HSTS

Pokud aktivujete HSTS, můžete pro lepší zabezpečení a výkon volitelně podporovat předběžné načítání HSTS. Chcete-li tuto funkci aktivovat, navštivte web hstspreload.org a řiďte se uvedenými požadavky na odeslání pro váš web.

Dejte si pozor na tyto časté chyby

Při zabezpečování webu pomocí protokolu TLS dejte pozor, abyste se nedopustili následujících chyb:

Problém Akce
Vypršení platnosti certifikátů Zajistěte, aby certifikát byl neustále aktuální.
Certifikát zaregistrovaný pro nesprávný název webu Zkontrolujte, zda jste získali certifikát pro všechny názvy hostitelů, které váš web používá. Pokud certifikát například pokrývá pouze název hostitele www.example.com a návštěvník se web pokusí načíst pomocí adresy example.com (bez předpony „www.“), bude mu kvůli neshodě názvu certifikátu přístup zablokován.
Chybějící podpora indikace názvu serveru (SNI) Zajistěte, aby webový server podporoval SNI a aby většinoví uživatelé používali podporované prohlížeče. SNI podporuje většina moderních prohlížečů, avšak chcete-li podporovat i starší prohlížeče, budete potřebovat vyhrazené IP adresy.
Problémy procházení Web HTTPS neblokujte před procházením pomocí souboru robots.txt.
Problémy indexování Všude, kde je to možné, povolte, aby vyhledávače mohly vaše stránky indexovat. Nepoužívejte metaznačku noindex.
Staré verze protokolů Staré verze protokolu jsou snadno napadnutelné. Zajistěte, abyste vždy měli nejnovější verze knihoven TLS, a implementujte nejnovější verze protokolů.
Kombinace zabezpečených a nezabezpečených prvků Na stránky HTTPS vkládejte pouze obsah zabezpečený protokolem HTTPS.
Rozdílný obsah na webu HTTP a HTTPS Zajistěte, aby weby HTTP i HTTPS měly shodný obsah.
Chyby se stavovým kódem HTTP na webu HTTPS Zkontrolujte, zda webové stránky vracejí správný stavový kód HTTP. Například 200 OK pro přístupné stránky nebo 404 či 410 pro stránky, které neexistují.

Další tipy

Další tipy ohledně používání stránek HTTPS na webu naleznete v častých dotazech ohledně migrace na HTTPS.

Migrace z protokolu HTTP na protokol HTTPS

Pokud web migrujete z protokolu HTTP na protokol HTTPS, Google to považuje za přesun webu se změnou adresy URL. Dočasně to může mít dopad na některé údaje o návštěvnosti webu. Další informace naleznete v přehledu přesunu webu.

Přidejte nový web s protokolem HTTPS do Search Console: Search Console považuje weby s protokolem HTTP a HTTPS za samostatné. Data se v Search Console mezi jednotlivými weby vzájemně nesdílejí.

Pokyny k odstraňování problémů s migrací najdete na stránce o odstraňování problémů s přesunutím souborů Sitemap.

Další informace

Další podrobnosti o implementaci protokolu TLS na webu:

Pomohl vám tento článek?
Jak bychom článek mohli vylepšit?