špatná-praxe:https

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze		 Předchozí verze
špatná-praxe:https [2017/11/28 11:30] – [Jak zajistit správnou implementaci HTTPS] Jakub Klímekšpatná-praxe:https [2021/07/30 09:34] (aktuální) – [Špatně] Jakub Klímek
Řádek 1: Řádek 1:
-====== Přístup přes nedostatečně zabezpečený protokol HTTPS ======+====== Přístup přes nedostatečně zabezpečený či chybně nakonfigurovaný protokol HTTPS ======
 I přesto, že máte protokol HTTPS na vašem webovém serveru implementován a ve vašem oblíbeném prohlížeči při přístupu na vaše stránky či k otevřeným datům svítí v adresním řádku zelený zámeček, nemusí být vše v pořádku. I přesto, že máte protokol HTTPS na vašem webovém serveru implementován a ve vašem oblíbeném prohlížeči při přístupu na vaše stránky či k otevřeným datům svítí v adresním řádku zelený zámeček, nemusí být vše v pořádku.
 Při nesprávné konfiguraci může být webový server používající protokol HTTPS náchylný k nejrůznějším zranitelnostem a nebo nemusí fungovat pro striktnější klienty. Při nesprávné konfiguraci může být webový server používající protokol HTTPS náchylný k nejrůznějším zranitelnostem a nebo nemusí fungovat pro striktnější klienty.
Řádek 8: Řádek 8:
  
 ===== Jak zajistit správnou implementaci HTTPS ===== ===== Jak zajistit správnou implementaci HTTPS =====
 +Správnou konfiguraci SSL na straně webového serveru můžete provést s pomocí nástroje [[https://ssl-config.mozilla.org/|Mozilla SSL Configuration Generator]], který poskytuje vzorové konfigurace pro řadu webových serverů.
 +Úroveň konfigurace volte na úrovni Modern.
 Pro kontrolu kvality implementace protokolu HTTPS na vašem serveru můžete použít například [[https://www.ssllabs.com/ssltest/|Qualys SSL Labs]] - stačí zadat vaši doménu. Pro kontrolu kvality implementace protokolu HTTPS na vašem serveru můžete použít například [[https://www.ssllabs.com/ssltest/|Qualys SSL Labs]] - stačí zadat vaši doménu.
 Snažte se dosáhnout hodnocení alespoň A, lépe však A+.  Snažte se dosáhnout hodnocení alespoň A, lépe však A+. 
Řádek 13: Řádek 15:
 Rozdíl mezi špatným a dobrým skóre je jasný: Rozdíl mezi špatným a dobrým skóre je jasný:
 ==== Špatně ==== ==== Špatně ====
-{{:špatná-praxe:https-fail.png?direct&400|Špatné skóre pro geoportal.msk.cz}}+{{:špatná-praxe:https-fail.webp?direct&400|Špatné skóre pro geoportal.msk.cz}}
 ==== Dobře ==== ==== Dobře ====
-{{:špatná-praxe:https-pass.png?direct&400|Dobré skóre pro nkod.opendata.cz}}+{{:špatná-praxe:https-pass.webp?direct&400|Dobré skóre pro nkod.opendata.cz}} 
 + 
 +===== Souběžná podpora HTTP a HTTPS ===== 
 +I při správné implementaci HTTPS je třeba rozhodnout o souběžné podpoře protokolu HTTP. 
 +Uživatel totiž typicky zadává do prohlížeče adresu bez protokolu, například ''data.gov.cz''
 +Pak musí prohlížeč vědět, jak ke stránce přistoupit. 
 +Ve výchozím nastavení se prohlížeč pokusí nejprve připojit přes protokol HTTP (port 80). 
 +Toto lze řešit pouze dvěma způsoby 
 +Buďto protokol HTTP nebude podporován vůbec a doména bude zanesena to seznamu HSTS Preload, prohlížeč pak přímo použije HTTPS. 
 +Druhou možností je, že webserver bude nakonfigurován tak, že protokol HTTP bude sloužit pouze k přesměrování na protokol HTTPS. 
 +==== Bez podpory HTTP, s registrací to seznamu HSTS ==== 
 +V této variantě webserver vůbec protokol HTTP na portu 80 nepodporuje. Pak je ale třeba doménu zanést do seznamu [[https://hstspreload.org/|HSTS Preload]], aby prohlížeč klienta při zadání adresy bez HTTPS věděl, že se má připojovat rovnou přes HTTPS, nikoliv HTTP, což by vedlo k chybě. 
 +==== Přesměrování HTTP na HTTPS ==== 
 +V této variantě se libovolný požadavek na adresu přes protokol HTTP (port 80) pouze přesměruje na ekvivalentní HTTPS adresu (port 443) pomocí HTTP stavového kódu ''301 Moved Permanently''.
  • špatná-praxe/https.1511868657.txt.gz
  • Poslední úprava: 2020/06/03 07:36
  • (upraveno mimo DokuWiki)