Defaults.Exposed › Opravy › HTTPS a přesměrování na zabezpečené připojení

Jak opravit HTTPS a přesměrování na zabezpečené připojení

HTTPS je zámek v adresním řádku prohlížeče — šifruje vše, co putuje mezi vaším webem a vašimi zákazníky, aby to nemohlo být přečteno nebo pozměněno při přenosu. Přesměrování na zabezpečené připojení zajistí, že návštěvníci automaticky přistávají na šifrované verzi, i když zadají vaši adresu bez 'https://'. Společně jsou toto jediná nejzákladnější věc, kterou web potřebuje, aby byl vůbec považován za bezpečný.

Výsledek pro vaše podnikání: Bez HTTPS každé heslo, číslo karty a zpráva, kterou vám zákazník pošle, prochází internetem jako čitelný text, a Chrome, Edge, Safari a Firefox označují váš web 'Nezabezpečený' pro každého návštěvníka dříve, než si přečte jediné slovo. Bez přesměrování dokonce i weby s certifikátem nechávají první návštěvu nechráněnou. Obojí vás stojí důvěru, tržby a pozice ve vyhledávání — a obojí lze opravit zdarma za minuty.

Co vás to může stát

• Poprvé návštěvník vidí velké varování 'Nezabezpečený' hned jak se stránka načte. Většina předpokládá, že web je falešný, rozbitý nebo nebezpečný a odejde ke konkurenci — a vy ani nevíte, že prodej byl ztracen.
• Zákazník zadá údaje o kartě nebo přihlásí se na nešifrovaném připojení z kavárny, hotelu nebo letiště. Někdo na stejné WiFi to přečte v čistém textu a podvodné poplatky, které následují, jsou připsány vám.
• Nákupní nebo bezpečnostní tým většího klienta provede rychlý sken před podpisem, uvidí žádné HTTPS nebo chybějící přesměrování na zabezpečené připojení a parkuje smlouvu, dokud nemůžete prokázat, že je to opraveno.
• Google vás hodnotí níže než konkurenty, kteří obsluhují HTTPS, takže tiše ztrácíte vyhledávací provoz po roky bez propojení s touto mezerou.
• Regulátor nebo váš platební poskytovatel považuje odesílání osobních nebo kartových dat nešifrovaně za reportabilní selhání, přeměňujíce pětiminutovou bezplatnou opravu v compliance problém.

Proč na tom záleží. HTTPS je podlaha, nikoli strop webové bezpečnosti — je to to, co způsobuje, že se zámek zobrazí a co zastaví vše, co vaši zákazníci pošlou, od přečtení nebo pozměnění cestou. Přesměrování na zabezpečené připojení uzavře mezeru, kterou samotný certifikát ponechává otevřenou: lidé téměř nikdy nezadávají 'https://', takže bez přesměrování je jejich první požadavek nechráněný dříve, než se vůbec načte zabezpečená verze. Web postrádající jedno z toho vypadá pro návštěvníky nebezpečně, je hůře hodnocen ve vyhledávání a vystavuje skutečná zákaznická data — proto je toto nejsilněji váhovaným jednotlivým selháním, které hodnotíme.

Co to je, prostými slovy

HTTPS je zabezpečená, šifrovaná verze vašeho webu — ta, která zobrazuje zámek v adresním řádku. Když je návštěvník na HTTPS, vše, co prochází mezi jejich prohlížečem a vaším webem (stránky, které vidí, formuláře, které vyplňují, jejich hesla, údaje o kartě), je zakódováno tak, že nikdo mezi nimi nemůže číst nebo měnit. Prostá verze, HTTP, odesílá vše jako čitelný text, který kdokoliv na stejné síti může zachytit.

Existují dvě části, jak to správně udělat, a my kontrolujeme obě:

• Je HTTPS vůbec dostupné? Má váš web funkční bezpečnostní certifikát, takže existuje zabezpečená, uzamčená verze? Toto je závažnější ze dvou — bez ní neexistuje žádné šifrování vůbec.
• Nutí váš web návštěvníky na ni? Téměř nikdo nezadává “https://” ručně. Pokud někdo zadá jen název vaší domény, jejich prohlížeč nejprve zkusí prostou HTTP verzi. Přesměrování na zabezpečené připojení automaticky přesměruje tento požadavek na šifrovanou verzi. Bez něj jsou první okamžiky každé návštěvy nechráněné, i když máte certifikát.

Chcete obojí. Certifikát bez přesměrování jsou zamčené přední dveře, kolem kterých mohou návštěvníci jednoduše obejít.

Obchodní sázky

Toto je nejzákladnější signál toho, zda je web bezpečný — a zásadně, váš zákazníci ho mohou vidět sami. Každý moderní prohlížeč (Chrome, Edge, Safari, Firefox) označí web bez HTTPS jako “Nezabezpečený” přímo v adresním řádku a zobrazí varování, pokud se někdo pokusí cokoli zadat do formuláře. Vaši návštěvníci nemusí vědět, co je certifikát, aby reagovali na toto slovo.

Kromě viditelného varování to ovlivňuje tři věci, na kterých majitelé přímo záleží: důvěra (lidé opouštějí weby, které vypadají nebezpečně), pozice ve vyhledávání (Google používá HTTPS jako signál hodnocení po roky a upřednostňuje zabezpečené weby) a skutečná expozice (data odesílaná prostým HTTP skutečně mohou být přečtena ostatními na stejné síti). Je to také druh věci, kterou bezpečnostní tým většího klienta kontroluje za sekundy při due diligence — a chybění může zastavit obchod.

Co vás to může stát

• Tichý bounce. Potenciální zákazník proklikne z vyhledávačů nebo reklamy a stránka se načte s šedým odznakem “Nezabezpečený” — nebo ještě hůře plnoobrazovkovým varováním. Nepošlou vám e-mail, aby se zeptali proč; jednoduše zavřou záložku a kliknou na další výsledek. Zaplatili jste za tuto návštěvu a ztratili ji dříve, než si přečetli jediné slovo, a nic v analytice vám neřekne proč.
• Zachycené přihlášení nebo platba. Zákazník se přihlásí nebo provede checkout na sdílené WiFi v hotelu nebo kavárně. Protože připojení není šifrováno, někdo v blízkosti zachytí jejich heslo nebo číslo karty v čistém textu. Podvod, který následuje, je hlášen jako vaše narušení a vy vyřizujete rozzlobené hovory a chargeback.
• Obchod, který stagnuje. Větší zákazník je připraven podepsat, ale jejich nákupní proces zahrnuje rychlou bezpečnostní kontrolu vašeho webu. Vrátí se s upozorněním na žádné HTTPS nebo chybějící přesměrování na zabezpečené připojení. Náhle vysvětlujete základní bezpečnostní mezeru místo uzavírání — a smlouva čeká nebo tiše jde ke konkurenci, který prošel kontrolou.
• Pomalý únik pozice. Dvě firmy nabízejí totéž; jedna obsluhuje zabezpečené HTTPS a jedna ne. Vyhledávačů popostrčí tu zabezpečenou výš. Během měsíců ztrácíte stabilní kapku volného provozu a nikdy to nespojíte s tímto jediným nastavením.
• Vstříknutý obsah, který jste nikdy nepsali. Na nešifrovaném připojení může kdokoliv uprostřed — prohnilá veřejná síť, kompromitovaný router — vložit falešná vyskakovací okna, podvodné nabídky nebo malware do vašich stránek při jejich načítání návštěvníkem. Pro tohoto návštěvníka to vypadá jako váš web to udělal.

Co to vlastně je

Když se prohlížeč připojí k webu přes HTTPS, stane se dvě věci. Za prvé, web předloží certifikát — pověření vydané důvěryhodnou autoritou, které dokazuje, že web je tím, čím tvrdí být. Za druhé, prohlížeč a server se dohodnou na šifrovacím klíči a použijí ho k zakódování veškeré jejich výměny. Naše první kontrola, HTTPS dostupné, se jednoduše ptá: můžeme navázat zabezpečené TLS připojení k vašemu webu na standardním zabezpečeném portu (443) a dostat zpět platný certifikát? Pokud ano, může se zobrazit zámek a šifrování je zapnuté. Pokud ne, neexistuje žádná zabezpečená verze vašeho webu vůbec — a to je jediné nejsilněji váhované selhání, které hodnotíme.

Druhá kontrola, přesměrování na zabezpečené připojení, pokrývá mezeru, kterou samotný certifikát ponechává otevřenou. Lidé zadávají “yourbusiness.com”, nikoli “https://yourbusiness.com”. Tento holý požadavek jde nejprve na prostou HTTP verzi. Přesměrování je jednořádková instrukce, která říká “posílat kohokoliv, kdo přijde na nezabezpečenou verzi, přímo na zabezpečenou.” Naše kontrola se ptá: když požadujeme vaši prostou HTTP adresu, přesměruje nás váš web na HTTPS? Pokud ano, každý návštěvník skončí chráněn bez ohledu na to, jak zadal vaši adresu. Pokud ne, ten první nechráněný skok nese vše, co prohlížeč odesílá — cookies, data formuláře — v čistém textu.

Jak vypadá ‘dobré’ nastavení: platný, důvěryhodný certifikát, aby se zámek zobrazoval na každé stránce, a každý prostý HTTP požadavek automaticky přesměrován na HTTPS verzi (ideálně s trvalým přesměrováním “301”, které také předá vaši pozici ve vyhledávání čistě na zabezpečenou adresu).

Jak to opravit (zdarma, ~15 minut)

Předejte tuto sekci svému IT pracovníkovi nebo podpoře vašeho hostingového poskytovatele — oprava je zdarma. Obě části nestojí nic: důvěryhodné certifikáty jsou zdarma a obnovují se samy a zapnutí přesměrování je jediné nastavení na většině platforem. K průchodu není třeba žádný placený produkt.

Je třeba zapnout dvě věci. Na většině moderního hostingu provedení první často učiní druhou přepínačem jedním kliknutím.

1. Získejte certifikát, aby HTTPS fungovalo (zámek).

• Cloudflare: pokud je váš web za Cloudflare, SSL je za vás zajištěno. Nastavte režim SSL/TLS na “Full” (nebo “Full (strict)”, pokud má i váš původní server certifikát).
• Tvůrci webů a managed hosting (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, většina Microsoft 365 / Google Workspace webhostingu): HTTPS je poskytováno automaticky; jen se ujistěte, že je povoleno v nastavení vašeho webu/domény — obvykle není co instalovat.
• cPanel hosting: otevřete SSL/TLS Status a spusťte AutoSSL, který vydá bezplatný Let’s Encrypt certifikát.
• Vlastní server (VPS): nainstalujte Let’s Encrypt s Certbotem — sudo certbot --nginx -d yourdomain.com (nebo --apache). Načte a nainstaluje bezplatný certifikát a nastaví automatické obnovení.
• Cokoliv jiného: kontaktujte podporu vašeho hostingového poskytovatele a požádejte ho, aby “povolil bezplatný SSL certifikát pro mou doménu.” Téměř všichni to nabízejí bez nákladů.

2. Nutit každého návštěvníka na HTTPS (přesměrování).

• Cloudflare: SSL/TLS → Certifikáty hrany → zapnout “Vždy používat HTTPS.” To je celá práce.
• Tvůrci webů (Squarespace, Wix, Shopify atd.): hledejte přepínač “Vynutit HTTPS” nebo “Zabezpečené (HTTPS)” v nastavení vašeho webu a zapněte ho.
• Nginx: přidejte blok serveru na portu 80, který vrátí trvalé přesměrování — return 301 https://$host$request_uri;.
• Apache (.htaccess): povolte přepisování a přesměrujte jakýkoliv požadavek bez HTTPS — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows hosting): nainstalujte modul URL Rewrite a přidejte pravidlo přesměrování “HTTP na HTTPS”.

Po zapnutí obou otestujte: zadejte svou adresu s prostým http:// před ní a potvrďte, že prohlížeč skočí na uzamčenou https:// verzi automaticky a že zámek se zobrazuje na vašich hlavních stránkách.

Běžné chyby

• Certifikát nainstalován, ale žádné přesměrování. Nejčastější mezera. Vidíte zámek, když navštívíte vlastní web (protože váš prohlížeč si zapamatoval HTTPS), takže předpokládáte, že je to hotové — ale noví návštěvníci, kteří zadají holou doménu, stále přistávají nejprve na HTTP. Vždy explicitně testujte prostou http:// verzi.
• Smíšený obsah. Vaše stránka se načítá přes HTTPS, ale stahuje obrázek, skript nebo písmo ze staré http:// adresy. Prohlížeče to buď blokují nebo přeřadí zámek na varování. Aktualizujte tyto reference na https:// (nebo na relativní odkazy). Většina platforem má zprávu “smíšený obsah” nebo “nezabezpečený obsah”, která je najde.
• Dočasné (302) přesměrování místo trvalého (301). 302 funguje pro návštěvníky, ale říká vyhledávačům, že přesun je dočasný, takže hodnotová hodnota se nepřenáší čistě na vaši zabezpečenou adresu. Použijte trvalé 301.
• Přesměrování pouze holé domény, nikoli “www” (nebo naopak). Ujistěte se, že jak yourdomain.com, tak www.yourdomain.com skončí na HTTPS, jinak jedna cesta je stále vystavena.
• Nechání certifikátu vypršet. Prošlý certifikát hodí plnoobrazovkovou chybu prohlížeče, která zastaví návštěvníky. Bezplatné Let’s Encrypt certifikáty se automaticky obnovují; pokud jste koupili ručně, nastavte si kalendářní připomínku dobře před datem vypršení.

Nejčastější dotazy

Viz otázky výše — pokrývají netechnické “mohu to udělat sám,” rozdíl mezi mít zámek a vynucovat přesměrování, náklady a obnovení certifikátu, zda brožurové weby to potřebují a jak to souvisí s HSTS.

Časté dotazy