Na internetu sílí hnutí za to, aby se HTTPS užívalo všude a vždy — i tehdy, kdy si uživatel nemyslí, že přenáší citlivá data.
Google loni ohlásil, že užívání HTTPS začal jeho algoritmus vyhodnocovat jako jeden ze „signálů“, podle kterých se určuje, jak vysoko ve výsledcích vyhledávání bude dotyčný web zobrazen; zatím sice HTTPS slouží jen jako slabý signál, ale Google „vyhrožuje“, že v nadcházejících letech jeho význam postupně posílí.
K čemu je HTTPS?
HTTPS je protokol HTTP (protokol přístupu k webovým zdrojům) „nasazený“ na šifrovací protokol TLS (Transport Layer Security). HTTP/2 je jeho nová implementace za účelem zrychlení načítání moderních složitých webů; v praxi je HTTP/2 podporováno Googlem a dalšími tvůrci nejužívanějších webových prohlížečů výhradně přes TLS. I to je součást jejich tlaku na přechod na HTTPS.
Užívání HTTPS má dvojí význam:
- Prohlížeč (klient) podle certifikátu předloženého serverem prověřuje, že server, na který se přistupuje, je skutečně tím, kterým se podle adresy tváří být.
- Přenášený obsah je chráněn šifrováním, aby jej po cestě nešlo neoprávněně číst, popřípadě do něj zasahovat a pozměňovat jej.
HTTPS ovšem není neprůstřelné, leč oproti obyčejnému HTTP musí útočník, dostane‑li se k síťovému provozu někde mezi klientem a serverem, překonat vysokou laťku: například podvrhnout certifikát nebo prolomit šifrování.
Nejpalčivěji se potřeba HTTPS projevuje při využívání různých WiFi sítí ve veřejných prostorech — v restauracích a kavárnách, na letištích, v hotelích, na konferencích a na podobných místech, kde také chceme mít přístup k internetu, ale víme jen málo o tom, nakolik můžeme poskytovanému připojení věřit, a to i je‑li chráněno heslem, a tedy šifrováno. Některé WiFi sítě jsou přitom zcela otevřené.
Zástupci Googlu zmiňují také obavu o to, že z provozu přes HTTP si může někdo třetí na cestě poskládat i ze zdánlivě bezvýznamných dat a návštěv webů podrobný profil uživatele. Proti tomu lze však podotknout, že také navštěvované weby obsahují prvky, které různým třetím stranám umožňují poskládat profil uživatele, aniž to většina uživatelů tuší, a zrovna HTTPS je proti tomu nijak neochrání.
Přechod na HTTPS nezáleží jen na provozovateli webu
Začít podporovat HTTPS nespočívá jen v tom, že si koupíte certifikát a nastavíte server. Žádná stránka, kterou pošlete uživateli, nesmí obsahovat jeden jediný vložený zdroj, na který se v kódu natvrdo odkazuje přes „http://“, jinak prohlížeč uživateli zahlásí „rozlomené“ HTTPS. A úplně vše, co se má načíst, třeba i z cizích serverů, musí být dostupné přes HTTPS.
Komerční provozovatel — například obsahového webu, který žije z reklamy — se tedy nemůže rozhodnout pro přechod na HTTPS jen sám za sebe, protože má do svého webu vloženy kódy z reklamních systémů a k tomu kódy měřicí, sledovací a analytické. Je v rukou svých „partnerů“ a může postupovat jedině v součinnosti s nimi, upozorňuje nedávný příspěvek na blogu amerického IAB (Interactive Advertising Bureau); jeho autorem je tamní ředitel technických standardů.
Ostatně, ani Lupa a další obsahové weby Internet Infa nejsou zatím dostupné přes HTTPS. Zeptali jsme se proto přímo „doma“, proč tomu tak je. Odpovídá Martin Calta, technický ředitel Internet Infa. Zmiňuje přitom i další důvody:
Domnívám se, že HTTPS může být k užitku nám i uživatelům, nicméně jeho dosavadní nepodporu nepovažuji za kritický problém, který bychom museli řešit urgentně.
Přechod na HTTPS máme v budoucnu v plánu (na některých menších projektech ho už používáme a tak trochu si na nich testujeme, co všechno to obnáší). Na druhou stranu nás Dobrý web upozornil, že přechod z HTTP na HTTPS s sebou nese propad návštěvnosti z vyhledávačů, a to i v případě, že je dobře udělané přesměrování. Takže budeme HTTPS pečlivě zvažovat a přejdeme na něj až ve chvíli, kdy výhody přechodu převáží nad problémy, které to přinese.
Při nasazení je potřeba zajistit, aby i další obsah (obrázky, reklamy, stránky vložené pomocí iframe…) byl také na HTTPS, což je dost složité, když jde o obsah od třetí strany, která HTTPS nepodporuje.
Dále jsou to drobné technické komplikace, jako například to, že šifrované spojení končí na load balanceru a do aplikace už dorazí jako HTTP, takže je zase potřeba ji z různých důvodů přesvědčit, aby si myslela, že běží na HTTPS (což jde, ale je to jedna z komplikací, kterou uvádím jako příklad).
Přesměrování?
Jak vyplývá z vystoupení „HTTPS Everywhere“ na loňském Google I/O, Googlu se nebude líbit, jestliže jen povolíte přístup přes HTTPS a dále se tím nebudete zabývat. Z pohledu jeho robota budete provozovat vlastně dva stejné weby na dvou různých adresách — jeho robot bude porůznu na webu nadále nacházet zpětné odkazy přes HTTP a bez vašeho zásahu nebude vědět, který z těch „dvou webů“ má indexovat a nabízet ve výsledcích.
V zásadě to není jiné, než kdybychom nepřesměrovávali všechny požadavky na http://lupa.cz na http://www.lupa.cz. To jsou pro vyhledávače také dvě různé adresy.
Mimoto byste bez přesměrování neochránili ty, kteří přes tyto odkazy přijdou, nebo si jen vepíší adresu do prohlížeče, ale bez předřazeného „https://“.
Proč přesměrování způsobí propad?
To vysvětluje pro Lupu Daniela Rajtmajerová, specialistka na SEO v Dobrém webu:
Jakékoliv, byť technicky dobře provedené přesměrování, s sebou nese vždy nějaký propad v organické návštěvnosti. V případě přechodu na HTTPS (provedeném přesměrováním 301) máme zkušenost většinou s menším propadem organické návštěvnosti z Googlu, která se po čase vrací k původním hodnotám. Seznam se dle našich zkušeností s touto změnou potýká mnohem hůře, dochází k citelným propadům návštěvnosti, která se jen obtížně vrací na původní hodnoty.
Seznam nám tento problém přiznal:
O potížích s pomalejší indexací při přechodu na protokol https víme. Již jsme letos nasadili řešení, a jakmile dokončíme přestěhování serverovny a opět budeme mít plný provoz bez plánovaných výpadků, měla by se náprava začít projevovat.
Seznam dále vysvětluje, že přechod webů na HTTPS je vlastně stejná úloha, jako změna domény stránky a přeindexace.
Odkazuje na svou nápovědu k HTTPS.
Reklamní systémy jsou připraveny, ne však agentury
Reklamní systém nejen Googlu a Seznamu je sám o sobě připraven na HTTPS — podporu HTTPS nám potvrdili i provozovatelé dalších rozšířených systémů, které jsme oslovili; jmenovitě jsme se dotázali na Gemius, Etarget, CPEx a dále na systém BBmedia využívaný mediálními zastupitelstvími AdActive a Impresion Media.
Od všech se nám dostalo víceméně shodné odpovědi, že HTTPS plně podporují už několik let, ale skoro nikdo toho nevyužívá (v případě CPEx žádný ze zapojených vydavatelů.)
Marek Pokorný z Grape Media, jenž spravuje kampaně pro AdActive, stručně pro Lupu sdělil: HTTPS je využíváno minimálně, a to i z důvodu, že do kódů BBadserveru se vkládají další měřicí kódy reklamních agentur, které HTTPS nepodporují.
Společnost Seznam to prostřednictvím své mluvčí Ireny Zatloukalové rozvádí podrobně:
Naše servery vydají jakoukoliv reklamu jak po HTTP, tak po HTTPS. Záleží jen na nasměrování odkazu. Výběr se řídí tím, na jakém protokolu běží ta či ona služba, případně podklady, které dodá inzerent.
Může se nám stát, že reklamní obsah není na HTTPS, a to ani na službě, která HTTPS podporuje. A to tehdy, pokud je nám dodán přes jiný externí reklamní systém (typicky z velkých reklamních agentur), jehož skripty také běžně pouštíme do výdeje. V těchto případech totiž nejsme přesměrování schopni ovlivnit. Navíc při spolupráci s velkými externími reklamními systémy je hlavně důležité to, o co si říká stránka, na které se reklama zobrazuje.
Na službách, které jsou vždy HTTPS (jako je Seznam.cz Email či naše domovská stránka), ale po inzerentech vždy vyžadujeme, aby i externí reklamní systémy vydávaly reklamu přes HTTPS.
Co do poměru zobrazování reklamy přes HTTPS vyzněl nejoptimističtěji osobní odhad vyslovený Martinem Douchou, technickým ředitelem Gemiusu pro Česko a Slovensko: Může to být někde mezi 10—20 %, ale nedá se říci, že bych v tom viděl nějaký vzestupný trend.
Nemá k dispozici ani žádnou podrobnou analýzu.
Oslovili jsme i tiskové zastoupení českého Googlu, ale dozvěděli jsme se pouze to, že Google lokální čísla pro jednotlivé trhy nikdy nezveřejňuje.
Alespoň globální prý nešlo do naší uzávěrky sehnat a schválit.
Jaká je naděje na všeobecné HTTPS?
Cesta k prosazení HTTPS by mohla vést snad skrze koordinované úsilí všech zúčastněných. Ty v Česku sdružuje SPIR. Proto jsme na SPIR zaslali dotaz, zda se sdružení problematikou zabývá, zda se kupříkladu snaží dospět k nějakým společným doporučením. Do uzávěrky článku jsme však vyjádření neobdrželi.
Americké IAB si koncem minulého roku provedlo průzkum mezi svými členy, ze kterého jim vyšlo, že HTTPS podporují systémy necelých 80 % z nich.
Možná nakonec prorazí cestu Seznam. Dlouhodobě totiž zamýšlí nasadit šifrování na všechny své služby, a tak by mohl postupně naučit i „velké agentury“ na HTTPS. Že by běžní vydavatelé tlačili agentury do HTTPS jednotlivě za sebe, to po nich chtít asi nemůžeme.