HTTPS — šifrované spojení s webem
Šifrované spojení mezi prohlížečem a webem.
Co to je
Když je v adrese „https://" a v prohlížeči visačka zámku, tvoje komunikace s webem je šifrovaná. Nikdo na cestě (poskytovatel internetu, Wi-Fi v kavárně) ji nemůže odposlechnout ani změnit. Bez HTTPS by stačilo sedět na stejné Wi-Fi a číst tvoje hesla.
Proč to záleží
V roce 2026 by web bez HTTPS neměl existovat. Pokud někde vidíš „nezabezpečené spojení" — neposílej tam žádné citlivé údaje.
Jak útok funguje
HTTPS chrání před třemi konkrétními útoky:
1. Sniffing (odposlech)
Bez HTTPS je tvoje komunikace v plain textu — kdokoli na cestě (Wi-Fi v kavárně, ISP, datacentrum) ji čte. Hesla, e-maily, cookies → všechno viditelné. HTTPS přidá šifrovanou vrstvu (TLS), nikdo na cestě nevidí obsah, jen že komunikuješ s daným serverem.
2. Man-in-the-Middle (MITM)
Útočník se vmáčkne mezi tebe a server — předstírá serveru, že je tebou, a tobě, že je serverem. Bez HTTPS přepošle data oběma směrům, ale stihne je číst i měnit. HTTPS to znemožní díky digitálnímu podpisu (certifikátu) — když útočník zkusí být v cestě, jeho certifikát nebude podepsaný důvěryhodnou autoritou, browser tě varuje.
3. Tampering (úprava obsahu)
Bez HTTPS ti ISP nebo Wi-Fi v hotelu může do stránek vstříknout reklamu, sledovací kód, dokonce malware. HTTPS to detekuje — pokud kdokoli na cestě obsah změní, podpis přestane sedět, browser stránku odmítne.
Jak útok na HTTPS funguje (vzácné, ale existuje):
- SSL stripping — útočník zachytí tvůj pokus o HTTPS a "downgraduje" ho na HTTP. Funguje pouze na starších stránkách bez HSTS preload list. Většina dnešních velkých služeb (banky, Google, Apple, Microsoft) je v HSTS preload list — browser jejich domény odmítá načíst přes HTTP.
- Falešný certifikát — útočník donutí browser akceptovat svůj certifikát. Funguje jen pokud:
- Máš nainstalovaný útočníkův root CA certifikát (corporate VPN, antivirus s HTTPS inspection, malware).
- Klikneš "Pokračovat dál" na browser warning o nedůvěryhodném certifikátu.
- Letiště / hotel captive portal — některé veřejné Wi-Fi pomohou tě "ověřit" tak, že vystaví falešný certifikát, abys mohl projít. Browser tě varuje, lidé často klepnou "Pokračovat" a dál pracují v nešifrovaném prostředí.
Co HTTPS NECHRÁNÍ:
- Nechrání před phishingem — útočník má svůj certifikát na své phishing doméně (
google-secure-login.com). HTTPS jen říká "spojení je šifrované", ne "stránka je důvěryhodná". - Nechrání metadata — kam jdeš, kdy, jak často. ISP a Wi-Fi vidí domény, jen ne obsah.
- Nechrání před malwarem na zařízení — pokud máš keylogger, hesla zachycuje před šifrováním.
Jak se chránit
Praktická pravidla (běžný uživatel):
- Zámek v adrese před hesly / kartami. Pokud chybí, zavřít stránku. Browser navíc označí HTTP stránky jako "Not secure".
- Browser warning = STOP. "Toto spojení není soukromé" / "Certifikát není důvěryhodný" znamená NEpokračovat, ne "klikni dál a uvidíš". Jediná legitimní výjimka: kavárenský captive portál, ale i tam nezadávej žádné citlivé údaje (jen e-mail pro ověření).
- HTTPS Everywhere je v Chrome / Edge / Brave / Firefox přímo zabudovaný. Nemusíš nic instalovat. Klikni v Nastavení → Privacy → "Always use secure connections" ON.
Pro firmu / pokročilý use case:
- HSTS (HTTP Strict Transport Security) — server v hlavičce řekne browseru "vždy mě používej přes HTTPS". Browser to zapamatuje a dál odmítá HTTP. Pro vaše veřejné weby v Terraformu / Nginx confich. Naše doména (
owlguardscore.com) je v HSTS preload list, viz next.config.mjs. - Certificate pinning v mobilních aplikacích — app akceptuje jen konkrétní certifikát serveru, ne libovolný platný. Chrání před corporate VPN s HTTPS inspection a před podvodem na cestě.
- TLS 1.3 — nejnovější verze TLS protokolu, blokovat starší verze (TLS 1.0/1.1) na webu i v aplikacích.
Kontrola certifikátu (1× pro paranoidní moment):
- Klikni na zámek v adresním řádku → "Connection is secure" → "Certificate is valid".
- Vydaný komu — měla by to být doména, kterou očekáváš (ne podvržená).
- Vydaný kým — důvěryhodná CA (Let's Encrypt, DigiCert, Comodo, …). Není-li, browser by tě měl varovat.
- Platnost — moderní certifikáty mají platnost ~3 měsíce, ale to je technický detail.
Captive portal v hotelech / na letišti:
- Klikni na browser warning, ALE v něm jen vyplň minimální údaje (e-mail / souhlas), nepřihlašuj se do banky.
- Po projití captive portal smaž cookies a otevři incognito pro citlivé browsing.
- Lepší řešení: vlastní mobilní hotspot (3G/4G/5G), žádná veřejná Wi-Fi pro citlivé úkony. Viz public-wifi.
Když nemáš HTTPS:
- Většina dnešních stránek HTTPS má. Pokud najdeš stránku bez HTTPS, je to typicky:
- Stará stránka (firma 5+ let bez aktualizace) — neřeš s ní cokoli citlivého, ale občas přečíst stačí.
- Lokální server / NAS — OK doma, ale na veřejné Wi-Fi přes ne.
- Phishing — vzácné dnes, většina phishingu má HTTPS (zdarma přes Let's Encrypt).
Časté mýty
Mýtus"Zámek v adrese znamená, že stránka je důvěryhodná."
RealitaZámek znamená pouze, že **spojení je šifrované** — že kdokoli na cestě (ISP, Wi-Fi) neuvidí obsah. NEznamená to, že STRÁNKA je legitimní. Phishingové stránky mají zdarma HTTPS přes Let\'s Encrypt — útočník si jen registruje doménu `csas-zabezpeceni.com` a zámek se zobrazí. Kontrola **domény** je primární obrana, ne kontrola zámku.
Mýtus"HTTPS je pomalejší než HTTP, proto ho ne všechny weby mají."
RealitaHTTPS přidává ~5 ms latence při prvním navázání spojení a 0 ms u dalších požadavků na stejné připojení. Pro moderní hardware to není detekovatelný rozdíl. Důvod, proč některé weby ještě HTTPS nemají: zanedbaná údržba, ne výkon. V 2026 každý web by měl být HTTPS.
Mýtus"Když používám HTTPS, můj ISP / Wi-Fi neví vůbec nic."
RealitaHTTPS chrání **obsah** komunikace, ale ne **metadata**. ISP a Wi-Fi vidí doménu, ke které se připojuješ (přes DNS dotaz a SNI v TLS handshake), čas připojení, objem dat. Z metadat lze rekonstruovat hodně — kam chodíš, kdy, jak často. Pro **úplnou** metadata privacy potřebuješ VPN nebo Tor.
Quick checklist
Browser nastavení:
- "Always use secure connections" ON (Chrome/Edge/Brave: Settings → Privacy → Security).
- HSTS preload list awareness — banky a velké služby jsou tam.
Standardní rutina:
- Před vyplněním hesla / karty → zámek v adrese.
- Browser warning ("Not secure" / "Certificate not valid") = STOP.
- Captive portál v hotelech → minimum údajů, žádné banking.
Pokud máš pochyby (paranoidní rutina):
- Klikni zámek → "Certificate is valid" → vydáno na očekávanou doménu.
- Pokud doména je podezřelá ("csas-secure.com" místo "csas.cz") → odejít.
Pro firmu / vlastní web:
- HTTPS přes Let's Encrypt nebo CA — všechny URLs.
- HSTS hlavička s preload submit do hstspreload.org.
- TLS 1.2+ minimum, 1.3 preferovaně.
- Auto-redirect HTTP → HTTPS na úrovni serveru.
Podobná témata
Souvisí s kategoriemi v testu: Domácí WiFi a router
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.