V červenci 2018 začalo Google Chrome označovat weby používající původní http komunikaci za nezabezpečené. V září 2018 odstraní nálepku „zabezpečené“ od těch co mají https a začne je považovat za normální a ty bez https trvale za nezabezpečené a ohrožující uživatele. Google není jediný, nehledejte v tom nějakou ojedinělou vzpouru – Firefox http označuje za nebezpečné už někdy loňského roku
Tohle téma se už řešilo v Znamená zámeček (https připojení) v prohlížeči, že je web bezpečný či dokonce ten pravý? Co certifikáty?.
Je v něm zmínka i o původním zeleném zámečku, který označoval dlouhé roky zabezpečené weby – ty komunikující přes https a vybavené certifikátem.
@365tipů se tomu věnovalo i v Jaký je rozdíl mezi http a https? A proč si na to dávat pozor? kde jsou vysvětleny i některé další rozdíly mezi webem na které jdete přes http a webem na který jdete přes https.
Protože je ale téma aktuální, přichází toto nové mimořádné shrnutí.
TIP: Znamená web označený jako nezabezpečený problémy? Ano, pokud se jedná o web, kde se budou přenášet přihlašovací údaje, budete přenášet z webu či na web soubory, osobní informace, osobní údaje. https je absolutně nutné pro sociální sítě, bankovnictví, e-shop, e-maily.
Od roku 2018 je možné zcela bezpečně říci, že pokud provozujete jakýkoli web, neměl by nikdy být přístupný jinak, než přes https – šifrované spojení zajišťuje, že komunikace uživatele a webu není možné odchytávat ani měnit. Jakkoliv to nemusí být zásadní u něčeho nepodstatného (kde se neposílají žádné osobní informace či údaje), pro e-shopy, banky či online služby je to zcela zásadní. Ale i na webech kde nejde o osobní údaje je ochrana před možnosti vstupovat do komunikace mezi webem a uživatelem důležitá – útočník může například vsunout malware.
Jako provozovatel webu byste měli vědět, že nezabezpečený web může znamenat, že vás nebudou mít v oblibě vyhledávače a ovlivní to vaše SEO.
TIP: Velmi pěkný web whynohttps.com ukazuje výběr navštěvovaných nezabezpečených webů. Ještě lepší na tomto webu je, že se můžete podívat i na nezabezpečené weby z Česka. V době psaní tohoto tipu je tam řada velkých médií, ale tak dost zásadně problematické weby jako dpp.cz, mojedatovaschranka.cz, gpwebpay.com, uschovna.cz, mvcr.cz a dokonce i cnb.cz (ano Česká Národní Banka používá nezabezpečenou komunikaci)
Jako uživatele byste měli vědět, že pokud se ocitnete na webu komunikujícím přes http (místo https), tak to co si s webem posíláte může někdo cizí číst a může do toho zasahovat.
Pokud přes nešifrované spojení budete posílat přihlašovací údaje, může je někdo získat.
Pokud si přes nešifrované spojení budete s někým chatovat či psát e-maily, obsah se může dostat do cizích rukou.
TIP: Co je to end-to-end encryption (koncové šifrování). Jak je to bezpečné?
Jako uživatel byste tak měli rozhodně trvat na tom, že všude na Internetu bude komunikace probíhat přes https.
Výše popsané se ale netýká jenom webu, je zásadním problémem v mobilních aplikacích i Internetu věcí. Tam je problém o to záludnější, že nevíte jakým způsobem vlastně vaše oblíbená aplikace komunikuje přes Internet. Měla by komunikovat také pomocí https, samozřejmě.
Velkým problémem bývají weby, které po „přechodu“ na https ponechali původní http funkční. Nebo na https byly převedeny jenom některé části webu (či online služby). Jako uživatelé byste si tedy měli dávat pozor i na takovéto záludnosti.
TIP: Znamená problém s certifikátem nějaký problém? Může, pokud web používá https, měl by mít SSL certifikát – platný a patřící přímo provozovateli webu. Nejčastěji dochází k opomenutí v podobě neplatné certifikátu (platnost vypršela) nebo použití jiného certifikátu, než je ten pro konkrétní doménu. Komunikace je sice v tomto případě šifrovaná stále, ale není jisté, že někdo třeba certifikát nepodvrhl a nevydává se za někoho jiného (a tím pádem se dostane k vaší komunikaci).
Tohle bylo už ve výše zmíněném Znamená zámeček (https připojení) v prohlížeči, že je web bezpečný či dokonce ten pravý? Co certifikáty?.
A čistě pro webaře: Provozujete web na http místo https? Hodně nešťastný nápad. Proč prozradí právě tento tip.
PS: Ano, samozřejmě. V titulku bylo špatně jedno slovo. V titulku prostě vždy zůstávají chyby nejčastěji. Ale vlastně o tom máme taky tip. Když už někde bude chyba, tak je velmi pravděpodobně v titulku #020
