Přeskočit na obsah
OwlGuardScore

HTTPS — šifrované spojení s webem

Šifrované spojení mezi prohlížečem a webem.

Co to je

Když je v adrese „https://" a v prohlížeči visačka zámku, tvoje komunikace s webem je šifrovaná. Nikdo na cestě (poskytovatel internetu, Wi-Fi v kavárně) ji nemůže odposlechnout ani změnit. Bez HTTPS by stačilo sedět na stejné Wi-Fi a číst tvoje hesla.

Proč to záleží

V roce 2026 by web bez HTTPS neměl existovat. Pokud někde vidíš „nezabezpečené spojení" — neposílej tam žádné citlivé údaje.

Jak útok funguje

HTTPS chrání před třemi konkrétními útoky:

1. Sniffing (odposlech)

Bez HTTPS je tvoje komunikace v plain textu — kdokoli na cestě (Wi-Fi v kavárně, ISP, datacentrum) ji čte. Hesla, e-maily, cookies → všechno viditelné. HTTPS přidá šifrovanou vrstvu (TLS), nikdo na cestě nevidí obsah, jen že komunikuješ s daným serverem.

2. Man-in-the-Middle (MITM)

Útočník se vmáčkne mezi tebe a server — předstírá serveru, že je tebou, a tobě, že je serverem. Bez HTTPS přepošle data oběma směrům, ale stihne je číst i měnit. HTTPS to znemožní díky digitálnímu podpisu (certifikátu) — když útočník zkusí být v cestě, jeho certifikát nebude podepsaný důvěryhodnou autoritou, browser tě varuje.

3. Tampering (úprava obsahu)

Bez HTTPS ti ISP nebo Wi-Fi v hotelu může do stránek vstříknout reklamu, sledovací kód, dokonce malware. HTTPS to detekuje — pokud kdokoli na cestě obsah změní, podpis přestane sedět, browser stránku odmítne.

Jak útok na HTTPS funguje (vzácné, ale existuje):

  • SSL stripping — útočník zachytí tvůj pokus o HTTPS a "downgraduje" ho na HTTP. Funguje pouze na starších stránkách bez HSTS preload list. Většina dnešních velkých služeb (banky, Google, Apple, Microsoft) je v HSTS preload list — browser jejich domény odmítá načíst přes HTTP.
  • Falešný certifikát — útočník donutí browser akceptovat svůj certifikát. Funguje jen pokud:
    • Máš nainstalovaný útočníkův root CA certifikát (corporate VPN, antivirus s HTTPS inspection, malware).
    • Klikneš "Pokračovat dál" na browser warning o nedůvěryhodném certifikátu.
  • Letiště / hotel captive portal — některé veřejné Wi-Fi pomohou tě "ověřit" tak, že vystaví falešný certifikát, abys mohl projít. Browser tě varuje, lidé často klepnou "Pokračovat" a dál pracují v nešifrovaném prostředí.

Co HTTPS NECHRÁNÍ:

  • Nechrání před phishingem — útočník má svůj certifikát na své phishing doméně (google-secure-login.com). HTTPS jen říká "spojení je šifrované", ne "stránka je důvěryhodná".
  • Nechrání metadata — kam jdeš, kdy, jak často. ISP a Wi-Fi vidí domény, jen ne obsah.
  • Nechrání před malwarem na zařízení — pokud máš keylogger, hesla zachycuje před šifrováním.

Jak se chránit

Praktická pravidla (běžný uživatel):

  1. Zámek v adrese před hesly / kartami. Pokud chybí, zavřít stránku. Browser navíc označí HTTP stránky jako "Not secure".
  2. Browser warning = STOP. "Toto spojení není soukromé" / "Certifikát není důvěryhodný" znamená NEpokračovat, ne "klikni dál a uvidíš". Jediná legitimní výjimka: kavárenský captive portál, ale i tam nezadávej žádné citlivé údaje (jen e-mail pro ověření).
  3. HTTPS Everywhere je v Chrome / Edge / Brave / Firefox přímo zabudovaný. Nemusíš nic instalovat. Klikni v Nastavení → Privacy → "Always use secure connections" ON.

Pro firmu / pokročilý use case:

  • HSTS (HTTP Strict Transport Security) — server v hlavičce řekne browseru "vždy mě používej přes HTTPS". Browser to zapamatuje a dál odmítá HTTP. Pro vaše veřejné weby v Terraformu / Nginx confich. Naše doména (owlguardscore.com) je v HSTS preload list, viz next.config.mjs.
  • Certificate pinning v mobilních aplikacích — app akceptuje jen konkrétní certifikát serveru, ne libovolný platný. Chrání před corporate VPN s HTTPS inspection a před podvodem na cestě.
  • TLS 1.3 — nejnovější verze TLS protokolu, blokovat starší verze (TLS 1.0/1.1) na webu i v aplikacích.

Kontrola certifikátu (1× pro paranoidní moment):

  • Klikni na zámek v adresním řádku → "Connection is secure" → "Certificate is valid".
  • Vydaný komu — měla by to být doména, kterou očekáváš (ne podvržená).
  • Vydaný kým — důvěryhodná CA (Let's Encrypt, DigiCert, Comodo, …). Není-li, browser by tě měl varovat.
  • Platnost — moderní certifikáty mají platnost ~3 měsíce, ale to je technický detail.

Captive portal v hotelech / na letišti:

  • Klikni na browser warning, ALE v něm jen vyplň minimální údaje (e-mail / souhlas), nepřihlašuj se do banky.
  • Po projití captive portal smaž cookies a otevři incognito pro citlivé browsing.
  • Lepší řešení: vlastní mobilní hotspot (3G/4G/5G), žádná veřejná Wi-Fi pro citlivé úkony. Viz public-wifi.

Když nemáš HTTPS:

  • Většina dnešních stránek HTTPS má. Pokud najdeš stránku bez HTTPS, je to typicky:
    • Stará stránka (firma 5+ let bez aktualizace) — neřeš s ní cokoli citlivého, ale občas přečíst stačí.
    • Lokální server / NAS — OK doma, ale na veřejné Wi-Fi přes ne.
    • Phishing — vzácné dnes, většina phishingu má HTTPS (zdarma přes Let's Encrypt).

Časté mýty

  • Mýtus"Zámek v adrese znamená, že stránka je důvěryhodná."

    RealitaZámek znamená pouze, že **spojení je šifrované** — že kdokoli na cestě (ISP, Wi-Fi) neuvidí obsah. NEznamená to, že STRÁNKA je legitimní. Phishingové stránky mají zdarma HTTPS přes Let\'s Encrypt — útočník si jen registruje doménu `csas-zabezpeceni.com` a zámek se zobrazí. Kontrola **domény** je primární obrana, ne kontrola zámku.

  • Mýtus"HTTPS je pomalejší než HTTP, proto ho ne všechny weby mají."

    RealitaHTTPS přidává ~5 ms latence při prvním navázání spojení a 0 ms u dalších požadavků na stejné připojení. Pro moderní hardware to není detekovatelný rozdíl. Důvod, proč některé weby ještě HTTPS nemají: zanedbaná údržba, ne výkon. V 2026 každý web by měl být HTTPS.

  • Mýtus"Když používám HTTPS, můj ISP / Wi-Fi neví vůbec nic."

    RealitaHTTPS chrání **obsah** komunikace, ale ne **metadata**. ISP a Wi-Fi vidí doménu, ke které se připojuješ (přes DNS dotaz a SNI v TLS handshake), čas připojení, objem dat. Z metadat lze rekonstruovat hodně — kam chodíš, kdy, jak často. Pro **úplnou** metadata privacy potřebuješ VPN nebo Tor.

Quick checklist

Browser nastavení:

  • "Always use secure connections" ON (Chrome/Edge/Brave: Settings → Privacy → Security).
  • HSTS preload list awareness — banky a velké služby jsou tam.

Standardní rutina:

  • Před vyplněním hesla / karty → zámek v adrese.
  • Browser warning ("Not secure" / "Certificate not valid") = STOP.
  • Captive portál v hotelech → minimum údajů, žádné banking.

Pokud máš pochyby (paranoidní rutina):

  • Klikni zámek → "Certificate is valid" → vydáno na očekávanou doménu.
  • Pokud doména je podezřelá ("csas-secure.com" místo "csas.cz") → odejít.

Pro firmu / vlastní web:

  • HTTPS přes Let's Encrypt nebo CA — všechny URLs.
  • HSTS hlavička s preload submit do hstspreload.org.
  • TLS 1.2+ minimum, 1.3 preferovaně.
  • Auto-redirect HTTP → HTTPS na úrovni serveru.

Podobná témata

Souvisí s kategoriemi v testu: Domácí WiFi a router

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.