Pre správcu webu by jednou z úloh mal byť prechod na HTTPS, pretože už naozaj nie je čo odkladať.
Dôvody na prechod na HTTPS sú trojaké: bezpečnosť, HTTP/2 a webové prehliadače.
Prvý dôvod – bezpečnosť komunikácie
Každý nový projekt „ide“ na HTTPS a starším je potrebné možnosť šifrovania dodať. Až od vášho administrátora začujete to známe „Na čo certifikát, veď je to len magazín (alebo web bez platieb)“, pošlite mu tento článok.
Prístup Nemám čo skrývať, prečo by som teda šifroval, tiež nie je správnou cestou. Možnosť zhromažďovania dát a sledovanie používateľov je reálna hrozba a skutočne sa tak deje. Nemusíte byť priamo internetový aktivista, ktorý šifruje všetku komunikáciu, neverí žiadnej službe tretej strany a všetky šifrovacie kľúče má vo svojom držaní. Na druhú stranu, prečo by niekto iný na internete mal vedieť, čo si píšete s manželkou, kde a čo nakupujete, alebo vedieť, že si chcete vziať hypotéku? Nepríjemné je tiež pozmeňovanie obsahu prenášaných stránok.
Druhý dôvod – protokol HTTP / 2 nahrádzajúci http
Protokol HTTP / 2, ktorý už naši čitatelia dobre poznajú, je nástupca zastaralého HTTP 1.1. V pôvodnej verzii HTTP 1.0 sa prehliadač neustále pripájal a odpájal k serveru. V ďalšej verzii HTTP 1.1, ktorú používame dnes, sa už prehliadač neodpojuje, ale pred položením ďalšieho dotazu čaká na dokončenie odpovede. To vedie k mnohým paralelným spojeniam k serveru.
Hlavnou devízou nástupcu HTTP / 2 je tak lepšia práca so spojeniami a binárny prenos dát. HTTP / 2 vytvorí medzi prehliadačom a serverom jedno TCP spojenie (návrat k myšlienke HTTP 1.0). V dôsledku to znamená až niekoľkonásobne rýchlejšie načítanie webových stránok a lepšiu prácu so zdrojmi servera.
Menej známym faktom je plné šifrovanie HTTP / 2 protokolu. Hoci to nevychádza priamo z jeho definície, tak všetky prehliadače budú používať HTTP / 2 iba šifrované. Certifikátu na webe sa teda nevyhnete, pretože ho bude nový protokol pre prezeranie stránok potrebovať.
Tretí dôvod – webové prehliadače
Práve prehliadače sú miestom stretnutia používateľov internetu s certifikátmi a šifrovaním. Prehliadače musia rešpektovať aktuálne odporúčanie kryptografických odborníkov a používať len také technológie, ktoré sú dostatočne bezpečné. Z dôvodu zastarávania používaných metód sa raz za niekoľko rokov zvyšujú nároky; naši čitatelia si určite pamätajú prechod z 1024-bitových na 2048-bitové kľúče alebo nedávny prechod z SHA-1 na SHA-2 hash algoritmus.
Výrobcovia vo svojich produktoch vykonávajú neľahkú voľbu medzi úrovňou bezpečnosti a mierou používateľského komfortu. Prehliadač Chrome dokáže používateľa upozorniť na nezabezpečený formulár, ktorý odošle prihlasovacie heslo alebo platobné údaje nešifrovane cez HTTP. Firefox bude túto funkciu podporovať v blízkej dobe. Ako Chrome tak aj Firefox inklinujú k maximálnemu obmedzeniu HTTP. Určite nechcete, aby vám z webu alebo e-shopu odchádzali zákazníci kvôli absencii SSL certifikátu.
Možno si hovoríte, že sú tieto kroky prehliadačov zbytočné a agresívne. Môže sa to zdať, ale raz treba vykročiť v ústrety bezpečnému internetu.
Autor: Ing. Peter Tomaščík, špecialista pre bezpečnostné SSL certifikáty
tomascik@zoner.sk, www.sslmarket.sk
Tento článok vyšiel aj v tlačenom aprílovom vydaní TOUCHIT č. 4/2017, preto sa niektoré skutočnosti uvedené v článku, môžu odlišovať oproti aktuálnemu dátumu publikovania.
