Co to je HTTPS a proč je důležitý pro SEO a zabezpečení webu

HTTPS je zkratka pro anglický výraz Hypertext Transfer Protocol Secure, který označuje zabezpečenou verzi protokolu HTTP, který se používá pro posílání dat mezi webovým prohlížečem a webovou stránkou. Protokol HTTPS dokáže efektivně šifrovat data, aby zvýšil jejich bezpečnost při přenosu v internetovém prostředí. To je obzvláště důležité, když jsou přenášena citlivá data, jako je například přihlášení do bankovního účtu, odesílání citlivých osobních údajů nebo přístup do platební brány.

V současné době by zabezpečení webu skrze protokol HTTPS mělo být již běžným standardem, ačkoliv tomu tak stále v mnoha případech není. Uživatelé by se tak měli vyvarovat například nákupům na e-shopech, které zabezpečení skrze HTTPS svým zákazníkům nenabízí. V TRITON IT nabízíme našim klientům websupport, který denně provádí drobné úpravy na spravovaných webech a odpovídá klientům na dotazy. Jedním z nejčastějších je právě zřízení HTTPS - jak ho nastavit a na co si dát pozor. Právě proto vznikl tento článek.

Obr. 1: Někteří klienti vzhledem ke svým přísným bezpečnostním normám vyžadují rovněž maximální zabezpečení jejich vlastní domény

Jak funguje HTTPS?

HTTPS používá šifrovací protokol pro šifrování komunikace v síti. Tento šifrovací, nebo také kryptografický protokol, se nazývá Transport Layer Security (TLS), dříve známý jako Secure Sockets Layer (SSL). Protokol TLS zabezpečuje komunikaci pomocí tzv. asymetrické veřejné infrastruktury klíčů. Tento typ zabezpečení používá dva různé klíče pro šifrování komunikace na internetu mezi dvěma stranami:

  1. Soukromý klíč je ovládán majitelem webové stránky a je udržován v tajnosti. Tento klíč se nachází na webovém serveru a používá se pro dešifrování informací zašifrovaných veřejným klíčem.
  2. Veřejný klíč je k dispozici každému, kdo chce komunikovat se serverem zabezpečeným způsobem. Informace, které jsou zašifrovány veřejným klíčem, mohou být dešifrovány pouze soukromým klíčem, čímž je zaručeno, že se k zaslaným informacím nemůže dostat nikdo jiný, než komu byla zaslaná data určena.

Proč je HTTPS důležitý?

Co se stane, když webová stránka nepoužívá HTTPS? Využitím protokolu HTTPS majitel webové stránky zabraňuje tomu, aby byly informace vysílány způsobem, který je snadno viditelný pro kohokoli, kdo odposlouchává síť. Když jsou informace posílány přes obyčejný HTTP, informace jsou rozděleny do paketů dat, které lze snadno “odposlouchávat” pomocí volně dostupného softwaru. To činí komunikaci přes nezabezpečený kanál, jako je veřejná Wi-Fi, velmi zranitelnou vůči zachycení. Ve skutečnosti všechny komunikace, které probíhají přes HTTP, probíhají v prostém textu, což je velmi přístupné pro každého s vhodnými nástroji a zranitelné vůči útokům.

K začátku roku 2024 bylo na celém internetu evidováno téměř 300 milionů vydaných SSL certifikátů.

S HTTPS je provoz šifrován tak, že i když jsou pakety odposlouchány nebo jinak zachyceny, budou vypadat jako nesmyslné znaky a bez soukromého klíče, který zná jen majitel webové stránky, jsou nepoužitelné.

Jak poznat, zda webová stránka používá HTTPS?

Ve všech dnes běžně využívaných webových prohlížečích, jako je Google Chrome, Safari nebo Edge, jsou webové stránky, které nepoužívají HTTPS, výrazným způsobem označeny tak, aby uživatel již při náhodném příchodu na takový web věděl, že je narušeno jeho bezpečné prohlížení.

označení webové stránky zabezpečené protokolem HTTPS
Obr. 2: Jakým způsobem prohlížeč Google Chrome označuje webovou stránku zabezpečenou protokolem HTTPS

Stránka využívající HTTPS je nejčastěji opatřena ikonou zámku vedle URL adresy webu v horní části prohlížeče. Naopak, pokud web využívá starší nezabezpečenou verzi HTTP, je uživatel varován výstražným trojúhelníkem nebo nápisem “Nezabezpečeno”.

Jak HTTPS ovlivňuje SEO?

HTTPS je nejen důležitý pro bezpečnost a soukromí uživatelů, ale také pro optimalizaci pro vyhledávače (SEO). Google a další vyhledávače totiž preferují a zvýhodňují ověřené, zabezpečené a věrohodné webové stránky, a tak zařadily přítomnost HTTPS protokolu na seznam tzv. SEO signálů. To v praxi znamená, že webové stránky, které používají HTTPS, jsou rychleji indexovány a zobrazují se na vyšších pozicích ve výsledcích vyhledávání. Přechod na protokol HTTPS navíc pozitivně ovlivňuje i rychlost načítání webové stránky, což je další zásadní SEO faktor.

Ukázka detailu domény v analytickém nástroji WebMedea
Obr. 3: Ukázka detailu domény v analytickém nástroji WebMedea

David Trojan v rámci své bakalářské práce zkoumal vliv SEO faktorů, včetně HTTPS, na pozice webů ve vyhledávači Google. K tomu použil data ze systému WebMedea. Zjistil, že právě zabezpečení webové stránky skrze HTTPS je společně s dalšími faktory, jako rychlost webu, přítomnost klíčových slov v meta tagu title, meta tagu description nebo H1 nadpisech, jedním z nejdůležitějších SEO parametrů a Google jim přikládá velkou váhu. Teoretická část práce je ve formě SEO příručky přístupný na webu WebMedea. V závěru lze nalézt i zmiňovanou praktickou část a její výsledky.

Jak získat TLS/SSL certifikát a přejít na protokol HTTPS?

Přechod na HTTPS vyžaduje kroky, jako je získání TLS/SSL certifikátu, jeho instalace, nastavení přesměrování a aktualizace interních odkazů. Tyto kroky doporučujeme, pokud chcete zvýšit bezpečnost a SEO vaší webové stránky.

Až 18 % webových stránek k roku 2024 stále nepoužívá protokol HTTPS pro šifrovanou komunikaci.

Běžně veškerou správu zabezpečovacích certifikátů řeší poskytovatel hostingu. V TRITON IT si na zabezpečení webových stránek našich klientů zakládáme, a tak je přítomnost protokolu HTTPS na námi spravovaných webech standardem.

Prvním krokem při přechodu na zabezpečený protokol HTTPS je výběr certifikační autority, která TLS/SSL certifikát vystavuje. Od roku 2016 jsou na trhu nabízeny bezplatné certifikáty od certifikační autority Let’s Encrypt. Tyto certifikáty jsou pro běžné weby či e-shopy zcela dostačující a poskytují potřebné zabezpečení komunikace.

Kdy certifikát zdarma nestačí?

V některých případech je ale standardní certifikát zdarma nedostačující. Velké webové stránky mají často vlastní zabezpečovací systémy, které mohou považovat certifikační autoritu Let’s Encrypt za nedůveryhodnou, a v takovém případě je potřeba využít některý z placených certifikátu. Ty navíc, narozdíl od certifikátu zdarma, nabízejí tzv. ručení. To v praxi znamená, že certifikační agentura, která placený certifikát vydala, vám ručí za jeho bezpečnost, a v případě narušení kódované komunikace a úniku dat vám tak vyplatí předem smluvenou finanční částku.

Až 90 % všech existujících platných SSL certifikátů bylo vydáno skrze pouhých šest certifikačních autorit.

Konkrétním příkladem je spolupráce s naším klientem Loomis. Ti nás poptali v momentě, kdy potřebovali výrazně zlepšit servis své webové prezentace s ohledem na termíny odezvy i kompetence k úpravám, které webu Loomis umožní projít bezpečnostní rating internetové služby Bitsight. A právě splnění této přísné bezpečnostní normy vyžaduje placený SSL certifikát splňující náročné požadavky. Přechodem na nový typ tohoto certifikátu společně s dalšími bezpečnostními změnami na webu Loomis jsme dokázali pozvednout webové stránky klienta z ratingu B na nejvyšší úroveň A.

Po přidání certifikátu na váš web je důležité hlídat si jeho platnost, která u placených certifikátů bývá nastavena běžně na 1 rok, u bezplatných certifikátů je tomu 90 dnů. Po uplynutí této doby je potřeba platnost certifikátu obnovit. Pravidelná správa a obnova certifikátu je v TRITON IT součástí služby správy webů, kterou našim klientům nabízíme.

Pokud je certifikát poprvé vložen na web, je potřeba nastavit novou URL adresu, tedy změnit její úvod z http:// na https://. Následně je důležité změnit veškeré odkazy směřující na váš web rovněž na https://. Tento krok může usnadnit některý z pluginů, které v TRITON IT v rozhraní WordPress hojně používáme a díky tomu dokážeme provádět efektivní přesměrování a nehrozí tak, že by se na vašem webu objevovali známé 404 chyby.

Buďte si jisti správným zabezpečením svého webu. Pomůžeme Vám.