Zkontrolujte váš web před přechodem na HTTPS protokol

07. 04. 2016

inPage nyní poběží na rychlejším HTTP/2 protokolu a bude bezpečnější. To vše díky aktivaci bezplatného SSL certifikátu od ZONERu a poslední velké aktualizaci.

Postupně převádíme zákazníky na zabezpečený protokol HTTPS. Pro správnou funkčnost webu v prohlížečích návštěvníků je potřeba pamatovat na jedno jednoduché pravidlo – nenačítat obrázky a jiné prvky přes HTTP.

Možná to zní na první pohled složitě, ale skrývá se pod tím pouze mírně odlišný způsob vložení prvků na web. Při vkládání všech externích prvků je potřeba myslet na HTTPS protokol, jinak by na webu byl tzv. smíšený obsah. Je to bezpečnostní riziko a prohlížeče to návštěvníkům dají najevo. Proto si ukážeme několik základních bodů, které je potřeba před nebo i po přechodu na HTTPS protokol zkontrolovat.

Vložené odkazy v rámci webu

V jejich adrese (URL), na kterou se odkazujete, nesmí být uvedeno HTTP. Všechny prvky na stránku vkládejte v tzv. relativní podobě, která http:// neobsahuje; vztahuje se relativně k vašemu webu a jeho adresa se z odkazu „vynechá“. Pokud vkládáte obrázek z fotogalerie editorem inPage, bude vše v pořádku a nemusíte mít obavy.

Například: <img src="/obrazek/2/gmail-png/" alt="" width="520" height="228">

Vložené externí odkazy

U odkazů načítaných z externích zdrojů a stránek je to složitější. Odkazujete se na jinou adresu a ta musí být logicky uvedena. Musíte tedy použít předponu HTTPS:// a obrázky či jiné prvky načítat přes zabezpečené spojení.

Například takto se načítá Facebook prvek (ukázka je zkrácena):

<div class="fb-page fb_iframe_widget" data-href="https://www.facebook.com/SSLmarket?ref=hl" </div>

Podobně musíte nahrávat i obrázky, pokud jsou odjinud. To nedoporučujeme. Vždy je lepší všechny použité obrázky nahrát přímo do inPage a vložit je přes editor a galerii.

Kde se můžete setkat se smíšeným obsahem?

Obecně je třeba na HTTPS myslet při vkládání:

• externích obrázků, viz výše (lépe uložit do inPage a načítat v rámci webu)
• prvků ze sociálních sítí – například tzv. Widgety má Facebook, Twitter, ale i jiné sítě
• reklam – načítáte-li bannery odjinud, musí být použito HTTPS
• externí skripty a iframe

Upozornění na smíšený obsah. Kde najdete zdroj chyby?

V prohlížeči lze identifikovat smíšený obsah snadno. Upozornění uvidíte v levé oblasti vedle adresního řádku – většinou jako symbol přerušeného zabezpečení (přeškrtnutý nebo chybějící zámek, jiný symbol varování).

Pro odstranění konkrétního problému je nutné najít prvek, který chybu způsobuje. To je naštěstí jednoduché. V Chrome stiskněte F12 a v „konzoli“ uvidíte všechny blokované prvky. Žlutě je znázorněn tzv. pasivní smíšený obsah, který je sice nevinný, ale může oslabit bezpečnost webu. Červeně je označen blokovaný aktivní smíšený obsah (typicky javascript nebo iframe), který může znamenat hrozbu.

Ve Firefoxu je tato možnost k nalezení pod zkratkou Ctrl+Shift+K, nebo v menu pod vývojářskými nástroji. Všechen smíšený obsah označuje červeně.

Najděte prvky, které jsou v konzoli vytýkány, a opravte je v kódu webu (většinou stačí změnit HTTP na HTTPS v odkazu).

Změna v Google SearchConsole

Pokud používáte Google SearchConsole (dříve Google WebmasterTools), je nezbytné vytvořit v administraci novou webovou stránku s protokolem https v preferovaném tvaru. Například https://www.nazev-domeny.cz

Převod bude proveden 11. 4. 2016. Již nyní si můžete aktivovat či deaktivovat nový protokol na jedno kliknutí přímo ve své administraci včetně automatického nasazení SSL certifikátu a přesměrování na požadovanou verzi.

V případě jakýchkoliv dotazů se neváhejte obrátit na naši zákaznickou podporu, která je vám k dispozici 24 hodin 7 dní v týdnu.