Proč je HTTPS dnes minimum, ne nadstandard
HTTPS není jen technický detail pro vývojáře. Je to základní komunikační vrstva, která šifruje přenos mezi prohlížečem a serverem pomocí TLS. Bez ní může útočník na stejné síti odposlouchávat obsah formulářů, upravovat načítané skripty nebo podstrčit falešnou verzi stránky. To je obzvlášť rizikové na veřejných Wi‑Fi, v hotelích, kavárnách nebo firemních sítích s nedostatečnou segmentací.
Google navíc HTTPS používá jako lehký rankingový signál už od roku 2014. Dnes už nejde jen o SEO bonus, ale o očekávaný standard důvěry. Prohlížeče aktivně označují stránky bez HTTPS jako „Not secure“, což snižuje důvěru i konverze. U webů s formuláři, přihlášením nebo platební bránou je absence HTTPS prakticky nepřijatelná.
Co HTTPS skutečně chrání a co už ne
Častý omyl je, že HTTPS „udělá web bezpečný“. Ve skutečnosti chrání hlavně integritu, důvěrnost a autenticitu přenosu. Pokud návštěvník vyplní e-mail, telefon nebo číslo karty, šifrování brání tomu, aby data někdo po cestě přečetl. Zároveň ztěžuje manipulaci s obsahem, například injektáž škodlivého JavaScriptu přes nezabezpečenou síť.
HTTPS ale neřeší zranitelnosti v samotné aplikaci. Pokud má WordPress slabé heslo, plugin s dírou nebo e-shop s chybou v ověřování vstupů, útočník se může dostat dovnitř i přes perfektní certifikát. Stejně tak HTTPS nezabrání phishingu na podvodné doméně, pokud si uživatel nevšimne, že je na jiné adrese. Proto je potřeba vnímat TLS jako jednu vrstvu obrany, ne jako kompletní štít.
Jak poznat, že web HTTPS používá špatně
Na první pohled může web běžet na HTTPS, ale přesto být technicky problematický. Typickým problémem je mixed content – část zdrojů se načítá přes HTTP. Prohlížeč pak stránku sice zobrazí, ale některé skripty, obrázky nebo iframy mohou být blokované, případně se otevírá prostor pro útoky přes nezabezpečený prvek. To bývá časté po migraci webu z HTTP na HTTPS.
Další slabinou je špatně nastavené přesměrování. Ideální je jediná kanonická verze webu, například https://www.domena.cz, a všechny ostatní varianty musí přesměrovat přes 301. Pokud existují paralelně verze s www a bez www, s lomítkem i bez něj, případně HTTP i HTTPS, vzniká chaos pro uživatele i vyhledávače.
Pro kontrolu doporučuji tyto nástroje:
- Google Search Console – kontrola indexace, kanonických URL a chyb po migraci.
- SSL Labs Server Test – detailní audit konfigurace TLS, certifikátu a podporovaných protokolů.
- SecurityHeaders.com – rychlá kontrola bezpečnostních hlaviček.
- Chrome DevTools – záložka Console a Network pro odhalení mixed content.
- Ahrefs / Screaming Frog / Sitebulb – crawling webu a nalezení HTTP odkazů, přesměrování a chybných interních URL.
Praktický postup: jak přejít na HTTPS bez ztráty SEO
Migrace na HTTPS je bezpečná, pokud se provede systematicky. Nejprve je nutné získat certifikát. Pro většinu webů postačí Let’s Encrypt, který je zdarma a automatizovaně obnovovaný. U větších projektů se vyplatí sledovat i správu přes CDN nebo hostingové rozhraní, kde lze certifikát nasadit bez ručních zásahů.
Po instalaci certifikátu je potřeba nastavit:
- 301 přesměrování ze všech HTTP variant na HTTPS.
- kanonické URL pouze v HTTPS verzi.
- aktualizaci interních odkazů v menu, šablonách, patičce i obsahu.
- přepsání odkazů v databázi u CMS, typicky WordPressu.
- aktualizaci sitemap.xml a odeslání do Search Console.
- revizi canonical, hreflang a structured data, aby všude byly HTTPS adresy.
U WordPressu je praktické použít například Really Simple SSL jako pomocný nástroj, ale ne jako náhradu správné konfigurace serveru. Pro hromadné přepsání URL v databázi je bezpečnější nástroj typu WP-CLI search-replace nebo ověřený plugin pro migraci. U vlastních webů na Next.js nebo headless CMS je nutné zkontrolovat také absolutní cesty v API odpovědích, statických datech a generovaných kanonických značkách.
Důležitý je i monitoring po spuštění. Po migraci sledujte v Search Console nárůst stránek s HTTP URL, chyby 404, pokles indexovaných stránek a změny v prokliku. Pokud web běží na větším provozu, doporučuji porovnat data za 2–4 týdny před a po přechodu, zejména organickou návštěvnost, míru okamžitého opuštění a konverzní poměr.
Výkon, bezpečnostní hlavičky a moderní standardy
Obava, že HTTPS zpomalí web, dnes většinou neplatí. S moderními protokoly jako HTTP/2 a HTTP/3 je přenos často rychlejší než na starém HTTP. TLS handshake má sice režii, ale při správném nastavení, využití keep-alive, CDN a cache je dopad minimální. U webů s vysokou návštěvností se navíc vyplatí aktivovat OCSP stapling a zkontrolovat podporu TLS 1.3.
Bezpečnost ale nekončí certifikátem. Důležité jsou také hlavičky, které omezují riziko útoků:
- HSTS – přinutí prohlížeč používat jen HTTPS.
- Content-Security-Policy – omezuje, odkud se mohou načítat skripty, styly a další zdroje.
- X-Content-Type-Options: nosniff – brání zneužití MIME sniffingu.
- Referrer-Policy – omezuje únik citlivých URL parametrů.
- Permissions-Policy – řídí přístup k funkcím zařízení, jako je kamera nebo mikrofon.
U e-shopů a přihlašovacích aplikací je vhodné testovat i cookies. Měly by mít příznaky Secure, HttpOnly a ideálně SameSite=Lax nebo SameSite=Strict podle typu provozu. Tím snížíte riziko krádeže session i některých forem CSRF útoků.
Jak z HTTPS udělat výhodu pro důvěru i vyhledávání
Správně nastavené HTTPS není jen obrana proti útokům. Je to i signál profesionality pro uživatele, vyhledávače a AI systémy, které zpracovávají obsah webu. Pokud web používá bezpečné připojení, má čisté přesměrování, konzistentní kanonizaci a kvalitní strukturovaná data, zvyšuje šanci na bezproblémové indexování i citování v AI výsledcích.
Pro majitele webu to znamená jednoduchou prioritu: jednou za čas projít technický audit a ověřit, že web skutečně běží bezpečně, ne jen „na oko“. Pro vývojáře je to otázka standardu nasazení. Pro marketéry zase praktický dopad na konverze, důvěru a organickou viditelnost. Web, který mlčí o HTTPS, totiž v očích uživatele i vyhledávače často říká víc, než by chtěl.
