Defaults.Exposed › Zprávy
Slabé a zastaralé TLS: Poskytuje váš web stále staré šifrování? (2026)
Publikováno 2026-07-01
Údaje k 2026-06-29 · metodika v7. Souhrnná data z celoplošného průzkumu napříč 261 miliony ohodnocených domén; údaje o verzích TLS představují podíl domén dostupných přes HTTPS. TLS je protokol za symbolem visacího zámku; „slabé“ znamená staré verze nebo šifry, kterým prohlížeče a auditoři už nedůvěřují. Viz jak známkujeme.
Web se od starého šifrování z velké části posunul dál — silný visací zámek ale není zaručen a nejslabším článkem je dnes častěji certifikát než protokol. Z webů dostupných přes HTTPS jich 90.51 % nyní vyjednává moderní TLS 1.3 a velká většina zbytku používá TLS 1.2. Slabé verze protokolu jsou tedy výjimkou, nikoli pravidlem. Tam, kde „slabé TLS“ stále bolí, je to rafinovanější: servery, které potichu stále přijímají staré verze, slabé šifry a — nejčastěji — certifikáty, které jsou prostě poškozené. Zde je návod, jak zjistit, zda nejste výjimkou.
Co znamená „slabé TLS“ v roce 2026
- Zastaralé verze protokolu. TLS 1.0 a 1.1 byly v roce 2021 vyřazeny z používání. Jako vyjednaná verze jsou nyní vzácné — server ale může standardně používat TLS 1.3 a přitom stále přijímat přechod na verzi 1.0, pokud je o to požádán, což audity označují.
- Slabé sady šifer. Staré algoritmy (RC4, 3DES, exportní šifry) a chybějící dopředná bezpečnost oslabují spojení i na moderní verzi.
- Poškozený certifikát. To je ten častý případ: síla šifrování a platnost certifikátu jsou dvě různé věci a platné navázání spojení TLS 1.3 s neplatným certifikátem stále zobrazí návštěvníkům varování. 8.21 % domén předkládajících certifikát poskytuje neplatný — viz vypršel mi certifikát.
Jak na tom web ve skutečnosti je
Nejlepší vyjednaná verze TLS, podíl domén dostupných přes HTTPS, k 2026-06-29:
| Nejlepší verze TLS | Podíl |
|---|---|
| TLS 1.3 (aktuální) | 90.51 % |
| TLS 1.2 (přijatelné minimum) | 5.38 % |
| TLS 1.1 / 1.0 (vyřazené) | 0.00 % |
Z hlediska protokolu je situace zdravá. Mezera je nyní jinde: 8.21 % certifikátů je neplatných a pouze 78.02 % všech domén vůbec poskytuje HTTPS — takže pětina webu není v první řadě vůbec šifrovaná.
Proč na tom stále záleží, i když je většina webů v pořádku
- Položky compliance. PCI-DSS, mnoho bezpečnostních dotazníků a vládní základní požadavky vyžadují TLS 1.2+ a aby staré verze a slabé šifry byly aktivně vypnuty — nikoli pouze standardně nepoužívány. Viz co kontrolují dotazníky.
- Zranitelnost vůči downgradu. Pokud server stále přijímá starou verzi, může se útočník pokusit vynutit slabší spojení, než chtěla obě strany.
- Skryté riziko. Slabé, ale přítomné TLS a stále přijímaná stará šifra jen zřídka vyvolají varování prohlížeče, takže přežívají, dokud to někdo aktivně nezkontroluje.
Jak zajistit, aby vaše TLS bylo silné
- Nastavte minimální verzi na TLS 1.2 a povolte TLS 1.3 na serveru nebo CDN — a ověřte, že staré verze jsou odmítány, nikoli jen nepoužívány. Viz oprava TLS.
- Zmodernizujte šifry — upřednostněte sady s dopřednou bezpečností; zrušte RC4, 3DES a šifry exportní úrovně.
- Udržujte certifikát platný — to je častější selhání. Viz oprava chyb certifikátu.
- Vynuťte HTTPS a přidejte HSTS, aby byly přechody na prosté HTTP odmítány.
- Otestujte znovu zvenčí — slabé TLS je v prohlížeči neviditelné, takže jej potvrďte externí kontrolou.
Často kladené otázky
Je moje TLS zastaralé? Verzí pravděpodobně ne — 90.51 % webů s HTTPS používá TLS 1.3. Pravděpodobnější slabinou je problém s certifikátem (8.21 % certifikátů je neplatných) nebo server, který za moderním výchozím nastavením stále přijímá staré verze.
Je TLS 1.2 stále v pořádku? Ano — TLS 1.2 je přijatelné minimum a TLS 1.3 je preferováno. Problémem je, pokud je stále přijímáno cokoli pod verzí 1.2.
Rozbije vypnutí starého TLS starší návštěvníky? Jen velmi málo moderních klientů potřebuje TLS 1.0/1.1; náklady na kompatibilitu jsou nyní minimální oproti přínosu v oblasti compliance a bezpečnosti.
Zobrazuje slabé TLS varování prohlížeče? Slabý protokol nebo šifra obvykle ne — projeví se to v auditech a skenech. Poškozený certifikát naproti tomu návštěvníky varuje přímo.
Je oprava zdarma? Ano — jde o změnu konfigurace serveru nebo CDN, nikoli o nákup.
Zkontrolujte konfiguraci svého TLS zdarma
Zobrazte si své verze TLS, sílu šifer a stav certifikátu — soukromě a pouze pro vlastníka.
Zkontrolujte svou doménu → · Opravit TLS → · Proč můj web říká „Nezabezpečeno“? → · Jak známkujeme → · Pouze souhrnná data. Data uložena a zpracována v EU.