Přechod na HTTPS nikdy nebyl jednodušší

Určitě jste zaznamenali čím dál větší tlak na převádění webů na zabezpečený HTTPS protokol. Je to tak dobře, ale přechod na HTTPS stále vzbuzuje obavy z komplikací, které zrovna není čas řešit. Věděli jste ale, že u ACTIVE 24 můžete web přesměrovat na HTTPS jedním kliknutím včetně řešení tzv. mixed content problému?

Oznámení Google z února 2018 o plánovaném označování webů běžících na HTTP

Google po předchozím oznámení nedávno publikoval novou verzi prohlížeče Chrome 68, která nyní označuje všechny weby na HTTP jako nezabezpečené. Stejný krok bude následovat v prohlížeči Firefox od Mozilly. Tlak na přechod na HTTPS je patrný všude a je to tak dobře. Nejde jen o weby, kam se přihlašujete heslem nebo zadáváte citlivé údaje. Důvodem jsou čím dál častější zásahy do nechráněného HTTP. Jak se vyvíjí technologie, které jsou dostupnější a levnější, setkáváme se čím dál častěji s tím, že do nechráněného HTTP je vkládána nevyžádaná reklama, kód na sledování lidí, těžba kryptoměn, cenzura obsahu nebo dokonce rovnou malware, který nakazí vaše koncové zařízení, krade přihlašovací údaje na sociální sítě a další služby nebo zaútočí na často nedostatečně zabezpečené domácí routery. A to vše bez vědomí provozovatele stránky i toho, kdo si ji prohlíží. Názorně to ilustruje např. blog Troye Hunta. I když se na váš web návštěvníci nepřihlašují, přihlašujete se tam typicky vy při administraci stránek, což rozhodně vyžaduje základní zabezpečení a zároveň HTTPS řeší ochranu soukromí a bezpečnost všech, kteří váš web navštěvují. 

Pokud budete hledat návody pro přechod na HTTPS, mohou často vypadat poměrně komplikovaně. V ACTIVE 24 jsme vám chtěli přechod maximálně usnadnit, proto už dva roky dáváme ke každému webu na našem Linux hostingu důvěryhodný Let’t Encrypt certifikát zdarma už ve výchozím nastavení a nyní přidáváme tlačítko na přesměrování na HTTPS jedním kliknutím, které najdete v zákaznickém centru pod nastavením každého Linux hostingu.  To má dnes čtyři možné volby:

1) Podle nastavení serveru (dnešní implicitní nastavení) – přesměrování je vypnuté, ale v budoucnu může být po oznámení ze strany ACTIVE 24 zapnuto

2) Vypnuto – přesměrování je vypnuté a ani v budoucnu nebude ze strany ACTIVE 24 zapínáno

3) Zapnuto základní přesměrování – všechny požadavky jsou přesměrovány na HTTPS, ale neřeší se tzv. mixed content, tedy pokud se web snaží např. CSS styly nebo JavaScripty načítat po HTTP, v některých prohlížečích tyto nebudou načteny, což má vliv na funkčnost stránek.

4) Zapnuto a řeší mixed content (doporučené nastavení) – všechny požadavky jsou přesměrovány na HTTPS a zároveň je prohlížeč informován, že má po HTTPS načítat všechny prvky vložené do stránky, čímž problémům s tzv. mixed content efektivně zabrání a vy nemusíte přepisovat kód stránek všude tam, kde je natvrdo uvedeno „http://“. Chyba hrozí pouze v případě, kdy do svých stránek vkládáte prvky načítané z jiných domén, které běží na jiném hostingu, kde HTTPS ani v r. 2018 stále nepodporují. To je ale naštěstí vzácná situace. Nejčastější prvky jako Google Analytics, pluginy pro sociální sítě, mapy apod. samozřejmě HTTPS podporují, tedy u těch je funkčnost plně zachována. Naopak některé takové prvky dnes už nefungují, pokud je vkládáte na web běžící na nezabezpečeném HTTP (např. Geolokace).

Doporučujeme proto již dnes váš hosting přepnout do režimu „Přesměrování na HTTPS zapnuto a řeší mixed content“ a poté jen zkontrolovat, že se stránky načítají dle očekávání (např. s použitím konzole prohlížeče obvykle dostupné přes klávesu F12). V budoucnu bude ACTIVE 24 tento režim nastavovat jako výchozí ihned poté, co bude pro web po jeho zřízení získán Let’s Encrypt certifikát a budeme jej po předchozím oznámení nastavovat i stávajícím zákazníkům (samozřejmě s možností takový postup odmítnout – k tomu slouží právě volba „Vypnuto“). Nemusíte ale na tento náš krok čekat. Přejít na HTTPS nebylo nikdy snadnější, proto si nastavte přesměrování ještě dnes!

 

NAPIŠTE KOMENTÁŘ