Jak zabezpečit webové stránky: HTTPS, SSL a bezpečnost webu

Když navštívíte web s HTTPS, váš prohlížeč a server si nejprve vymění šifrovací klíče pomocí procesu nazývaného „TLS handshake". Poté je veškerá komunikace šifrována. I kdyby někdo data zachytil (například na veřejné Wi-Fi), viděl by jen nečitelný šifrovaný text. Toto je kriticky důležité zejména při přenosu citlivých údajů – hesel, platebních údajů, osobních informací. Bez HTTPS může útočník vidět a měnit vše, co mezi vámi a webem putuje.

Možná si říkáte: „Mám jen prezentační web, nepřijímám platby ani hesla." Ale HTTPS je důležitý i tak. Za prvé, Google penalizuje weby bez HTTPS ve vyhledávání. Za druhé, prohlížeče Chrome, Firefox i Safari zobrazují varování „Nezabezpečeno" u HTTP webů, což odrazuje návštěvníky. Za třetí, i kontaktní formulář přenáší data, která by měla být chráněna (GDPR). A za čtvrté, HTTPS chrání integritu webu – zabraňuje třetím stranám (např. ISP) vkládat do vašich stránek reklamy nebo škodlivý kód.

Zelený zámek v adresním řádku (nebo jeho absence) je okamžitý signál pro návštěvníky. Studie ukazují, že 84 % uživatelů by opustilo nákup, pokud by web nebyl zabezpečený. HTTPS buduje důvěru a říká návštěvníkům: „Tento web je profesionální a dbá na vaši bezpečnost." V e-commerce je HTTPS naprostou nutností – bez něj vám platební brány ani neumožní přijímat platby.

SSL/TLS využívá kombinaci dvou typů šifrování. Na začátku spojení se používá asymetrické šifrování s párem veřejného a soukromého klíče. Veřejný klíč může kdokoliv použít k zašifrování zprávy, ale pouze držitel soukromého klíče ji může rozšifrovat. Jakmile je bezpečné spojení navázáno, přepne se na symetrické šifrování, které je rychlejší. Obě strany používají stejný klíč, který byl bezpečně vyměněn pomocí asymetrické kryptografie.

SSL certifikát je digitální dokument, který ověřuje identitu vašeho webu a obsahuje veřejný klíč pro šifrování. Certifikát je vydáván certifikační autoritou (CA), která ověřila, že jste skutečným vlastníkem domény (nebo v případě dražších certifikátů i vaší organizace). Když prohlížeč navštíví váš web, zkontroluje platnost certifikátu – zda není prošlý, zda byl vydán důvěryhodnou CA a zda odpovídá doméně. Pokud je vše v pořádku, zobrazí se zámek.

Když váš prohlížeč navštíví HTTPS web, proběhne „TLS handshake" – proces, při kterém se obě strany dohodnou na šifrovacích parametrech. 1. Prohlížeč pošle serveru „Hello" zprávu s podporovanými šifrovacími metodami. 2. Server odpoví a pošle svůj certifikát. 3. Prohlížeč ověří certifikát u certifikační autority. 4. Prohlížeč vygeneruje „pre-master secret", zašifruje ho veřejným klíčem serveru a odešle. 5. Obě strany vypočítají session key. 6. Komunikace začíná šifrovaně. Celý proces trvá zlomky sekundy.

DV certifikát ověřuje pouze to, že máte kontrolu nad doménou. Ověření probíhá automaticky – obvykle přes e-mail na admin@vašedomena.cz nebo přidáním DNS záznamu. Certifikát je vydán během několika minut. DV certifikáty jsou nejlevnější (nebo zdarma přes Let's Encrypt) a jsou dostačující pro většinu webů – blogy, firemní prezentace, e-shopy. V prohlížeči se zobrazuje zámek, ale bez názvu firmy.

OV certifikát ověřuje nejen doménu, ale i existenci vaší organizace. Certifikační autorita zkontroluje obchodní rejstřík, může zavolat na firemní telefon nebo vyžadovat dokumenty. Proces trvá 1–3 dny. OV certifikáty stojí typicky 50–200 USD ročně. V prohlížeči se zobrazují stejně jako DV (zámek), ale v detailech certifikátu je vidět název organizace. Jsou vhodné pro firmy, které chtějí dodatečnou úroveň důvěryhodnosti.

EV certifikát vyžaduje nejpřísnější ověření. Certifikační autorita důkladně prověřuje právní existenci firmy, fyzickou adresu, telefonní čísla a oprávnění žadatele. Proces trvá 1–2 týdny. EV certifikáty stojí 200–500 USD ročně. Dříve zobrazovaly v prohlížeči zelený pruh s názvem firmy, ale moderní prohlížeče toto již nezobrazují. EV certifikáty jsou dnes relevantní hlavně pro banky, pojišťovny a velké korporace, kde je důvěra kritická. Pro většinu firem je DV nebo OV dostačující.

Wildcard certifikát (*.vašedomena.cz) pokrývá hlavní doménu i všechny subdomény (blog.vašedomena.cz, shop.vašedomena.cz). Je užitečný, pokud máte mnoho subdomén. Multi-domain certifikát (SAN certifikát) pokrývá více různých domén v jednom certifikátu (domena1.cz, domena2.cz). To je výhodné, pokud provozujete více webů a chcete spravovat pouze jeden certifikát. Obě varianty jsou dostupné jako DV, OV i EV.

Google potvrdil, že HTTPS je „lightweight" ranking signál – méně významný než kvalita obsahu nebo zpětné odkazy, ale stále relevantní. V konkurenčních výsledcích, kde je několik podobně kvalitních stránek, může HTTPS rozhodnout o tom, kdo je výše. Studie korelací ukazují, že více než 70 % výsledků na první stránce Google má HTTPS. I když korelace neznamená kauzalitu, je jasné, že HTTPS je dnes standardem pro kvalitní weby.

HTTPS nepřímo ovlivňuje SEO přes metriky chování uživatelů. Když prohlížeč zobrazí varování „Nezabezpečeno", mnoho návštěvníků okamžitě odejde. To zvyšuje Bounce Rate a snižuje čas na stránce – signály, které Google sleduje. Naopak, zabezpečený web buduje důvěru, návštěvníci zůstávají déle a více interagují. Tyto pozitivní signály pomáhají vašemu SEO.

Zajímavý technický detail: když někdo klikne na odkaz z HTTPS webu na HTTP web, referrer data se nepřenášejí. To znamená, že v Google Analytics neuvidíte, odkud návštěvník přišel – bude to vypadat jako „direct" návštěvnost. Pokud máte HTTP web, přicházíte o cenná data o zdrojích návštěvnosti. HTTPS zajišťuje, že referrer data jsou správně přenášena a vaše analytika je přesná.

Od roku 2018 Chrome označuje všechny HTTP stránky jako „Nezabezpečeno" v adresním řádku. Ostatní prohlížeče následovaly. Toto varování je viditelné všem návštěvníkům a má přímý dopad na důvěru. Pokud váš web stále běží na HTTP, působí neprofesionálně. Každý den, kdy odkládáte přechod na HTTPS, ztrácíte potenciální zákazníky, kteří odejdou kvůli varování.

Let's Encrypt je nezisková certifikační autorita, která poskytuje DV certifikáty zdarma. Od spuštění v roce 2015 vydala miliardy certifikátů a dramaticky přispěla k rozšíření HTTPS na webu. Certifikáty Let's Encrypt jsou plně důvěryhodné všemi prohlížeči. Jedinou nevýhodou je, že jsou platné pouze 90 dní a musí být pravidelně obnovovány. Většina hostingů však toto automatizuje. Pokud váš hosting podporuje Let's Encrypt (většina ano), je to nejlepší volba pro většinu webů.

Komerční certifikační autority jako DigiCert, Comodo (Sectigo), GeoTrust nebo Thawte nabízejí placené certifikáty s různými úrovněmi ověření a zárukami. Ceny se pohybují od 10 USD ročně (základní DV) po stovky dolarů (EV s vysokou zárukou). Placené certifikáty mohou nabízet delší platnost (až 2 roky, i když trend směřuje ke kratším), zákaznickou podporu a pojištění proti zneužití. Pro většinu firem však Let's Encrypt plně dostačuje.

Většina moderních hostingových služeb nabízí SSL certifikát jako součást balíčku nebo za minimální příplatek. Hostingy jako Wedos, Forpsi, Active24 v ČR nabízejí Let's Encrypt zdarma a automatickou instalaci. Stačí kliknout na tlačítko v administraci a certifikát je aktivní během minut. Pokud váš hosting SSL nenabízí nebo požaduje vysoké poplatky, zvažte změnu hostingu. HTTPS je dnes standard, který by měl být samozřejmostí.

Cloudflare je služba, která funguje jako prostředník mezi návštěvníky a vaším serverem. Nabízí bezplatný SSL (Flexible, Full nebo Full Strict) jako součást svého CDN. Pokud váš hosting nepodporuje Let's Encrypt, Cloudflare je rychlé řešení. Stačí změnit DNS záznamy na Cloudflare a HTTPS je aktivní. Navíc získáte další výhody jako CDN, ochranu proti DDoS a vylepšenou rychlost. Pozor však na režim „Flexible" – ten šifruje pouze spojení mezi návštěvníkem a Cloudflare, ne mezi Cloudflare a vaším serverem.

Prvním krokem je získat SSL certifikát (viz předchozí sekce). Pokud používáte hosting s cPanelem nebo Pleskem, najdete sekci „SSL/TLS" nebo „Security", kde můžete certifikát nainstalovat. Pro Let's Encrypt většina hostingů nabízí jednoduché tlačítko pro aktivaci. Po instalaci ověřte, že váš web je dostupný na https://vašedomena.cz – měli byste vidět zámek v adresním řádku.

Projděte celý web a aktualizujte všechny interní odkazy z http:// na https://. To zahrnuje odkazy v navigaci, v textu článků, v patičce a v šablonách. Pokud používáte CMS jako WordPress, existují pluginy (např. Better Search Replace), které to udělají automaticky. Zkontrolujte také odkazy na obrázky, CSS a JavaScript soubory – pokud jsou načítány přes HTTP, prohlížeč zobrazí varování „Mixed Content".

Musíte zajistit, že všechny HTTP URL automaticky přesměrovávají na HTTPS. To se dělá pomocí 301 přesměrování (trvalé přesměrování). V souboru .htaccess (Apache) přidejte:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Pro Nginx je konfigurace podobná. 301 přesměrování říká vyhledávačům, že stránka se trvale přesunula, a přenáší SEO hodnotu na novou URL.

Zkontrolujte, že všechny kanonické URL (<link rel="canonical">) ukazují na HTTPS verzi. Kanonická URL říká vyhledávačům, která verze stránky je hlavní. Pokud zůstane nastavená na HTTP, může to způsobit problémy s duplicitním obsahem. Podobně aktualizujte hreflang tagy (pokud máte vícejazyčný web) a sitemap.

Vygenerujte novou sitemap s HTTPS URL a nahrajte ji na server. Aktualizujte odkaz na sitemap v souboru robots.txt. Poté odešlete novou sitemap do Google Search Console a Bing Webmaster Tools. Tím urychlíte přeindexování vašeho webu s novými HTTPS URL.

Nezapomeňte aktualizovat URL vašeho webu v externích službách: Google Search Console (přidejte novou property pro https://), Google Analytics (změňte výchozí URL v nastavení property), sociální sítě (Facebook, LinkedIn profily), firemní katalogy, e-mailové podpisy a tištěné materiály. Také kontaktujte weby, které na vás odkazují, zda mohou aktualizovat odkazy na HTTPS verzi.

Mixed Content nastává, když HTTPS stránka načítá zdroje (obrázky, CSS, JavaScript) přes HTTP. Prohlížeč buď zdroje zablokuje (u skriptů) nebo zobrazí varování (u obrázků). Řešení: projděte kód a nahraďte všechny http:// odkazy za https://. Můžete také použít relativní URL (//example.com/image.jpg), které automaticky použijí protokol aktuální stránky. Nástroje jako Why No Padlock vám pomohou identifikovat problematické zdroje.

Dočasný pokles pozic po migraci je normální, protože Google musí přeindexovat váš web. Pokud jste správně nastavili 301 přesměrování a aktualizovali kanonické URL, pozice by se měly vrátit (a případně zlepšit) během několika týdnů. Pokud pokles trvá déle, zkontrolujte: Jsou všechny stránky přesměrovány? Fungují přesměrování správně (301, ne 302)? Jsou kanonické URL aktualizovány? Není v robots.txt blokována HTTPS verze?

SSL certifikáty mají omezenou platnost (Let's Encrypt 90 dní, komerční obvykle 1–2 roky). Pokud certifikát vyprší, prohlížeč zobrazí děsivé varování a většina návštěvníků odejde. Řešení: nastavte automatické obnovování (většina hostingů to dělá automaticky) nebo si nastavte kalendářové upozornění před vypršením. Můžete také použít monitorovací služby jako UptimeRobot nebo SSL Labs, které vás upozorní na blížící se expiraci.

„Redirect loop" (smyčka přesměrování) nastává, když HTTP přesměrovává na HTTPS, ale něco zase přesměrovává zpět na HTTP. Prohlížeč zobrazí chybu „příliš mnoho přesměrování". Typickou příčinou je konflikt mezi přesměrováním v .htaccess a nastavením v CMS nebo CDN. Řešení: zkontrolujte, že přesměrování je nastaveno pouze na jednom místě. Pokud používáte Cloudflare, ujistěte se, že máte správný SSL režim (Full nebo Full Strict, ne Flexible, pokud server podporuje HTTPS).

Zámek vedle URL je nejviditelnějším signálem zabezpečení. Kliknutím na zámek můžete zobrazit detaily certifikátu – kdo ho vydal, pro jakou doménu a kdy vyprší. Pokud je místo zámku zobrazeno „Nezabezpečeno" nebo varování, web nemá platný certifikát nebo používá HTTP. Moderní prohlížeče u HTTP webů aktivně varují návštěvníky.

Adresa zabezpečeného webu začíná https:// (s „s" na konci). Některé prohlížeče protokol skrývají pro přehlednost, ale když kliknete do adresního řádku, měli byste vidět kompletní URL včetně https://. Pokud vidíte jen http://, web není šifrovaný.

Kliknutím na zámek a poté na „Certifikát" (záleží na prohlížeči) můžete vidět detaily SSL certifikátu. Zkontrolujte: Platnost – není certifikát prošlý? Vydavatel – je to známá certifikační autorita? Doména – odpovídá certifikát doméně, na které jste? Pokud je něco v nepořádku, prohlížeč zobrazí varování.

Nejčastějším způsobem, jak hackeři získají přístup k webům, je uhádnutí nebo ukradení hesla. Používejte silná, unikátní hesla pro administraci webu, FTP a databázi. Minimálně 12 znaků, kombinace velkých a malých písmen, číslic a speciálních znaků. Ještě lepší je použít správce hesel jako Bitwarden nebo 1Password. Pokud váš CMS podporuje dvoufaktorové ověření (2FA), aktivujte ho – i když útočník získá heslo, nepřihlásí se bez druhého faktoru.

Většina úspěšných útoků využívá známé zranitelnosti v zastaralém softwaru. Pokud používáte WordPress nebo jiný CMS, udržujte ho aktuální. To platí pro jádro systému, šablony i pluginy. Nastavte automatické aktualizace nebo pravidelně kontrolujte dostupné aktualizace. Nepoužívané pluginy odstraňte – každý plugin je potenciální bezpečnostní riziko.

SQL injection a Cross-Site Scripting (XSS) jsou běžné typy útoků, které využívají špatně ošetřené vstupy. Útočník může vložit škodlivý kód do formuláře nebo URL a získat přístup k databázi nebo spustit škodlivý JavaScript. Ochrana: nikdy nedůvěřujte uživatelským vstupům. Používejte parametrizované dotazy pro databázi, escapujte výstupy a používejte Content Security Policy (CSP) hlavičky.

I při nejlepším zabezpečení se může něco pokazit. Pravidelné zálohy jsou vaše pojistka. Zálohujte celý web (soubory i databázi) minimálně jednou týdně, lépe denně. Zálohy ukládejte mimo server (cloud, lokální úložiště). Pravidelně testujte obnovení – záloha, kterou neumíte obnovit, je k ničemu. Mnoho hostingů nabízí automatické zálohy jako součást balíčku.

HTTP hlavičky mohou přidat další vrstvu ochrany. Důležité security headers zahrnují: Content-Security-Policy (CSP) – omezuje, odkud lze načítat skripty a další zdroje. X-Frame-Options – zabraňuje vložení vašeho webu do iframe (ochrana proti clickjacking). X-Content-Type-Options – zabraňuje MIME type sniffing. Strict-Transport-Security (HSTS) – říká prohlížeči, aby vždy používal HTTPS. Nástroj securityheaders.com vám řekne, které hlavičky vám chybí.

Web Application Firewall je služba, která filtruje škodlivý provoz dřív, než se dostane k vašemu serveru. Blokuje známé útoky, podezřelé požadavky a škodlivé boty. Služby jako Cloudflare, Sucuri nebo Wordfence (pro WordPress) nabízejí WAF jako součást svých balíčků. Pro weby s vysokým provozem nebo citlivými daty je WAF důležitou vrstvou ochrany.