Zkuste si to představit: potenciální zákazník najde váš web, chce si přečíst nabídku nebo vyplnit poptávkový formulář – a prohlížeč mu v adresním řádku ukáže velké červené upozornění „Nezabezpečeno“. Co udělá? Naprostá většina lidí prostě zavře kartu a jde ke konkurenci. A to i v případě, že váš web žádnou vážnou chybu nemá – stačí, že mu chybí jediná věc: šifrované připojení HTTPS.

Tohle není hypotetické strašení. Je to zpráva, kterou dnes zobrazují všechny hlavní prohlížeče, a která má měřitelný dopad na to, kolik lidí u vás nakonec nakoupí nebo poptávku odešle. A protože se objevuje úplně automaticky, bez jakéhokoliv zásahu z vaší strany, spousta majitelů webu vůbec netuší, že ji jejich zákazníci vidí.

Co přesně to „Nezabezpečeno“ znamená

Od roku 2018 Chrome (dnes nejpoužívanější prohlížeč na světě) začal aktivně označovat každou stránku běžící na starším protokolu HTTP – tedy bez šifrování – nápisem „Nezabezpečeno“ přímo v adresním řádku, na místě, kde si toho každý všimne. Ostatní prohlížeče se přidaly: Safari nezabezpečené weby zvýrazňuje červeně, podobně upozorňuje i Firefox nebo Edge.

Jinými slovy – nejde o nějakou okrajovou technickou poznámku, kterou vidí jen IT specialisté. Je to varování umístěné přesně tam, kam se návštěvník dívá první vteřinu na vašem webu – ještě předtím, než si přečte jediné slovo z vaší nabídky.

A funguje to obousměrně: zatímco nezabezpečený web je viditelně označen, zabezpečený web naopak žádné zvláštní ocenění nedostává – jen tichý zámek, kterého si nikdo nevšimne, protože je to dnes samozřejmý standard. Jinými slovy, HTTPS vám dnes nic „nepřidá“ navíc, ale jeho absence vás aktivně poškozuje.

Proč na tom prohlížečům (a zákazníkům) tolik záleží

HTTP posílá veškerá data mezi prohlížečem a serverem po internetu v otevřené, čitelné podobě. To znamená, že cokoliv návštěvník na vašem webu vyplní – jméno, telefon, e-mail, heslo, platební údaje – může teoreticky někdo cestou zachytit nebo dokonce pozměnit. Krádež přihlašovacích údajů na takto nezabezpečeném spojení je technicky triviální záležitost, zvlášť na veřejné wifi v kavárně, na nádraží nebo v hotelu, kde útočník sedí ve stejné síti jako váš zákazník.

U HTTPS je celá komunikace šifrovaná, takže data v ní jsou pro kohokoliv „po cestě“ nečitelná. Prohlížeče proto HTTP dnes berou jako rizikový stav a dávají to najevo uživateli – ne aby vás jako majitele webu potrestaly, ale aby chránily jeho návštěvníky. Pro firmu, která přes web sbírá poptávky, objednávky nebo přihlašovací údaje do zákaznické sekce, to znamená přímé riziko úniku citlivých dat vlastních klientů – a s ním spojenou ztrátu důvěry, která se buduje roky a ztratí se jedním varováním v prohlížeči.

Kolik to reálně stojí zákazníky

Dopad na chování návštěvníků je citelný a opakovaně měřený. Podle dostupných studií chování uživatelů opustí nákupní proces – tedy košík, objednávku nebo formulář – až 84 % lidí ve chvíli, kdy se jim zobrazí varování o nezabezpečeném připojení. To není malé procento, které „nějak splyne“ – je to většina potenciálních zákazníků, kteří odejdou dřív, než stihnou zjistit, co jim vlastně nabízíte.

U malé firmy nebo živnostníka to v praxi znamená: poptávkový formulář, který teoreticky funguje, ale prakticky ho skoro nikdo neodešle, protože se k němu ani nedostane bez pocitu nedůvěry. Marketingový rozpočet, provoz z reklamy nebo dobrá pozice ve vyhledávání jsou v takovém případě z velké části promarněné – návštěvníky na web přivedete, ale těsně před cílem je jedna nenápadná hláška odežene pryč.

Navíc tohle riziko není omezené jen na e-shopy s platbami. Stejně tak se týká rezervačních formulářů, poptávkových kalkulaček, kontaktních formulářů nebo přihlašování do klientské zóny – všude tam, kde návštěvník cokoliv odesílá, se varování projeví stejně tvrdě.

Na co si dát pozor

  • Adresa webu v prohlížeči začíná http:// místo https:// – to je první a nejjednodušší signál.
  • Vedle adresy webu se zobrazuje ikona „Nezabezpečeno“, přeškrtnutý zámek nebo červené varování.
  • Web sice má HTTPS, ale po kliknutí na některé odkazy nebo po odeslání formuláře se přesměruje zpět na http:// verzi.
  • Prohlížeč hlásí „smíšený obsah“ (mixed content) – stránka je přes HTTPS, ale některé obrázky, skripty nebo formuláře se stále načítají po nezašifrovaném HTTP.
  • Stará HTTP verze webu je stále dostupná a indexovaná vedle nové HTTPS verze – zmatek pro návštěvníky i pro Google.

Co s tím

Dobrá zpráva je, že tohle patří mezi nejsnáze a nejlevněji opravitelné problémy na webu:

  • Zajistěte si SSL certifikát. Služba Let’s Encrypt poskytuje certifikáty zcela zdarma a automaticky se obnovují. Většina hostingů má navíc SSL dnes už rovnou v balíčku – stačí ho jen aktivovat.
  • Nechte certifikát nainstalovat a ověřte, že web běží na https:// na všech stránkách, ne jen na hlavní.
  • Nastavte trvalé přesměrování (301) z http:// na https://, aby se žádná stránka nezobrazovala v nezabezpečené verzi a odkazy i staré záložky vedly správně.
  • Zkontrolujte smíšený obsah – tedy jestli se po přechodu na HTTPS nenačítají obrázky, skripty nebo formuláře pořád po staré HTTP adrese. I to prohlížeč umí označit jako problém.
  • Aktualizujte interní odkazy a sitemapu, aby ukazovaly na https:// verzi – pomůže to i vyhledávačům pochopit, že jde o jeden konzistentní web.

Celý proces zvládne u běžného webu na běžném hostingu technik během jednoho odpoledne a bez odstávky, která by návštěvníky nějak omezila. Nejde tedy o nákladný projekt, ale o jednorázovou opravu, která se vyplatí prakticky okamžitě – každý další den, kdy web běží na HTTP, znamená další odražené zákazníky.

Pokud si nejste jistí, jestli tohle na vašem webu funguje správně, dá se to ověřit i zvenčí – bez nutnosti komukoliv dávat přístupy do administrace. Přesně to dělá pasivní audit WebRevize: podívá se, jak web vidí prohlížeč i vyhledávač, a upozorní na podobné problémy dřív, než kvůli nim přijdete o zákazníky.

Projde váš web technickou kontrolou?

Zjistěte zdarma, jestli váš web netrpí některým z problémů z tohoto článku. Uděláme mu revizi bezpečnosti, rychlosti i viditelnosti a pošleme přehledný report – bez závazků.

Chci revizi webu zdarma →

Zdroje: SSLmarket – Chrome vytáhl do boje proti nezabezpečeným webům, Martin Domes – Jak na HTTPS aneb jak se zbavit nálepky nezabezpečeného webu, Websupport – Jak opravit nezabezpečené (not secure) HTTP weby.


Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *