Tento web konečně na https

Dlouho jsem se vyhýbal přechodu na https. Odrazovala mě složitější konfigurace i nutnost obnovování certifikátu. Až poslední aktualizace mého internetového prohlížeče mě donutila konat.

Nejnovější aktualizace prohlížeče, totiž začala dost nepříjemně zobrazovat, že připojení není zabezpečeno. Upozornění je tak vlezlé, že jsem po pár pokusech si jej nevšímat, jsem začal hledat způsob jak u všech webů využívající přihlášení HTTPS nasadit.

Zabezpečení webového serveru má samozřejmě své nesporné výhody. Tím prvním je nemožnost odposlouchávání dat, které načítáte nebo posíláte na webový server. Data mezi vaším webovým prohlížečem a webovým serverem se totiž šifrují. Obsah přenášených stránek není tak pro nikoho jiného není čitelný. Dále je takto zabezpečený web imunní vůči vkládání nežádoucího obsahu do stránky nebo úpravou odkazu, například internetovým dodavatele. Ze své praxe však nevím o jediném případu, kdy by se tak dělo. V neposlední řadě by měli zabezpečené weby dostáhnout ve vyhledávání lepších výsledku. Alespoň to Google již před nějakou dobou avizoval, nicméně zda-li se to nějak měřitelně projeví je otázkou.

Ukázalo se, že díky projektu letsencrypt.org lze získat certifikát platný na 3 měsíce zcela zdarma. Odpadá tím tedy finanční náročnost celého procesu. Co mi ale udělalo ještě větší radost, je projekt CERTBOT, díky kterému lze celý certifikační proces nasadit a zautomatizovat.

Robot totiž nejen nasadí všechny nutné prvky do systému, ale také si umí sám načíst konfiguraci webového serveru. Tím najde seznam adres, které na serveru jsou a umožní na ně automaticky nechat vygenerovat certifikáty. Pokud je konfigurace webového serveru správně, robot tedy udělá téměř všechnu práci automaticky. Jakmile stáhne certifikáty, pak může přenastavit server, aby nově směřoval na zabezpečený web všechen provoz. Tím však jeho práce nekončí, dokáže totiž nastavit i automatické obnovení certifikátu a tím odbourat omezení platnosti certifikátu jen na 3 měsíce.

Na svém testovacím serveru jsem tedy robota nasadil a vyzkoušel. Do pár minut jsem měl na testovacím serveru zprovozněn zabezpečený webový obsah. Nic tedy nebránilo nasazení na server, kde mám většinu svých projektů. Zde jsem narazil na pár problémů, ale postupným hledáním jsem narazil na postupy, jak se nepříjemnostem vyhnout a nakonec nasadit zabezpečený obsah na většinu mých webu.

Nasazení jen HTTPS však jen nestačí. Jakmile totiž máte zabezpečen web, musíte načítat také zabezpečený obsah a to se týká hlavně obrázku. Pokud načítáte obrázek ze stránek http: pak bude prohlížeč zobrazovat upozornění, že stránka načítá nezabezpečený obsah. Proto je nutné upravit všechny http spojení na jejich https alternativu existuje-li taková. Vynaložená práce však projeví krásným zeleným zámečkem u adresy webu.

Práci to zcela jistě dá, ovšem dnes již to není tak divoké, jako když jsem o nasazení zabezpečené verze svého logu přemýšlel poprvé. Do jisté míry jsou to právě prohlížeče, které tak nastartovaly mé rozhodnutí web zase o kousek posunout. Krok již mám ale za sebou a věřím, že hnusné upozornění bude trnem v oku nejednomu správci svého webu a bude také hledat cesty, jak web zabezpečit. Je fajn, že existují cesty, které celý proces do velké míry zjednoduší.