Community
12062
HostiServer
2026-06-01 20:23

Historie HTTPS: Od Chrome 68 v roce 2018 k 99 % webového provozu v roce 2026

⏱️ Doba čtení: ~9 minut | 📅 Aktualizováno: červen 2026

Jak se HTTPS stal standardem internetu: od Chrome 68 do roku 2026

Když v roce 2026 navštívíte jakýkoli web, v adresním řádku prohlížeče Chrome uvidíte buď ikonu zámku, nebo vůbec nic — HTTPS je dnes brán jako samozřejmost, nikoli jako úspěch. Naopak, pokud web stále běží na čistém HTTP, prohlížeč přes celou obrazovku zobrazí velké červené varování: „Útočníci se mohou pokusit ukrást vaše údaje." Konverze takových stránek je nulová.

Uplynulo osm let od chvíle, kdy Chrome 68 v červenci 2018 poprvé hromadně zobrazil označení „Not Secure" vedle adres HTTP stránek. Nebyla to nejhlasitější událost v historii webu, ale právě ona donutila miliony provozovatelů webů během několika měsíců přejít na HTTPS — něco, co dříve odkládali roky.

Tento článek je o tom, jak jsme se sem dostali, co se za osm let změnilo a kam web směřuje v blízké budoucnosti. Technické detaily (jak nakonfigurovat TLS na Nginxu, který certifikát vybrat, jak provést migraci bez ztráty SEO) jsou v samostatných článcích — odkážeme na ně tam, kde to bude vhodné.

Jak jsme žili před HTTPS: krátká předhistorie

HTTPS se neobjevil v roce 2018 spolu s Chrome 68. Protokol SSL vznikl už v roce 1995 ve společnosti Netscape — doslova na úsvitu komerčního webu. Až do roku 2010 ho však používaly hlavně banky, platební brány a přihlašovací stránky velkých služeb. Zbytek internetu jel na obyčejném HTTP.

To nedělalo problém, dokud platily dvě podmínky: provoz šel přes důvěryhodné poskytovatele a uživatel neseděl ve veřejných sítích. Oba předpoklady narazily na realitu na začátku roku 2010:

  • Veřejné Wi-Fi se stalo dostupné všude. Kavárny, hotely, letiště, metro. V otevřené bezdrátové síti mohl jakýkoli soused se snifferem číst veškerý HTTP provoz kolem sebe — hesla, cookies, soukromé zprávy.
  • Poskytovatelé internetu začali injektovat reklamu. Nejprve cíleně, poté plošně. Pokud web jel na HTTP, poskytovatel mohl legálně (a často nelegálně) vložit svůj vlastní banner přímo do těla stránky během přenosu.
  • Sledování provozu přešlo na průmyslovou úroveň. Po roce 2013, kdy vyšly Snowdenovy dokumenty, bylo jasné, že hromadné odposlouchávání provozu není teorie, ale skutečná praxe na úrovni států.

Dešifrování každého HTTPS požadavku stálo zdroje a čas, ale do roku 2014 už to nebyla vážná překážka. Web byl připraven na přechod — chyběl jen impulz.

2014: Google činí HTTPS faktorem hodnocení

V srpnu 2014 Google oficiálně oznámil, že HTTPS bude zohledněno v algoritmech vyhledávání. V té době byla váha tohoto signálu minimální — společnost přímo uvedla: „ovlivňuje méně než 1 % dotazů a má menší váhu než kvalita obsahu". Ale směr byl jasný: bezpečné weby získají výhodu a nezabezpečené budou postupně ztrácet pozice.

Mnozí signál ignorovali. Tehdy přechod na HTTPS vypadal jako nelehký úkol: bylo třeba koupit certifikát ($50–500 ročně u komerčních CA), správně nakonfigurovat server, opravit mixed content, přepsat všechny interní odkazy a nastavit 301 přesměrování z HTTP. Pro většinu malých a středních podniků to byly peníze a hodiny práce bez zjevné návratnosti.

Pak Google zatáhl za páky, které nakonec situaci otočily.

2015: spuštění Let's Encrypt

V dubnu 2015 startuje projekt Let's Encrypt — nezisková certifikační autorita, která vydává SSL certifikáty zdarma. Podporují ji Mozilla, EFF, Cisco, Akamai a další hráči odvětví. To zcela odstraňuje finanční bariéru: certifikát teď stojí nula dolarů a automaticky se obnovuje každých 90 dní.

Do konce roku 2016 vydal Let's Encrypt 24 milionů certifikátů. Do roku 2020 — miliardu. Stal se de facto standardem pro většinu webů na světě.

2017: varování na formulářích s hesly

V lednu 2017 začíná Chrome 56 zobrazovat označení „Not Secure" u HTTP stránek, které obsahují pole pro heslo nebo číslo karty. Není to ještě plné označování všeho HTTP, ale viditelný signál je jasný: Google připravuje přechod.

Provozovatelé webů dostali rok a půl času na varování. Kdo poslouchal, migroval. Kdo ne, dostal v červenci 2018 překvapení.

Červenec 2018: Chrome 68 a konec éry HTTP

24. července 2018 vychází Chrome 68. V changelogu řádek, který změnil web: nyní všechny weby bez HTTPS dostávají v adresním řádku označení „Not Secure", bez ohledu na to, zda stránka obsahuje formuláře, nebo ne.

Označení Not Secure v adresním řádku Chrome vedle HTTP webu

V té době Chrome ovládal více než 60 % globálního trhu prohlížečů. To znamenalo: 6 z 10 návštěvníků vašeho webu vidělo varování okamžitě po vstupu. Konverze e-shopů na HTTP klesly 2–3× už první den po aktualizaci prohlížeče.

Co následovalo

Během několika měsíců od vydání Chrome 68 se podíl HTTPS provozu na internetu zvýšil z ~70 % na ~85 %. Do konce roku 2019 na 95 %. Byl to nejrychlejší hromadný přechod na nový bezpečnostní standard v historii webu.

Rok Podíl HTTPS v načítaných stránkách (Chrome) Událost
2014 ~35 % HTTPS oznámen jako signál hodnocení Google
2016 ~50 % Let's Encrypt dosahuje 24 mil. vydaných certifikátů
2017 ~65 % Chrome 56: varování na formulářích s hesly
2018 ~85 % Chrome 68: označení „Not Secure" pro všechny HTTP weby
2020 ~95 % TLS 1.3 se stává výchozím; Chrome začíná blokovat mixed content
2026 ~99 % HTTP/3 v produkci; ECH a post-quantum TLS v beta testování

Tato čísla Chrome publikuje v otevřeném Transparency Report — lze je kdykoli ověřit. Dynamika je zřejmá: za osm let prošel HTTPS cestou od „bylo by fajn" po „bez něj web neexistuje".

Co HTTPS ve skutečnosti dělá

How an HTTPS connection works 💻 Browser Verifies certificate 🤝 TLS Handshake Key exchange 🔒 Encrypted channel AES-256-GCM 🖥️ Server Confirms domain Encrypted TLS 1.3 channel (AES-128-GCM · ChaCha20-Poly1305) ① Requests connection ② Exchanges keys ③ Encrypts traffic ④ Proves identity Security triad: Confidentiality · Integrity · Authenticity

Šifrování bývá chápáno úzce — „data se nedají přečíst". Ve skutečnosti HTTPS řeší tři samostatné úlohy, známé v kryptografii jako triáda CIA (Confidentiality, Integrity, Authenticity).

Důvěrnost

Provoz mezi prohlížečem a serverem je šifrován moderními algoritmy (AES-128-GCM, AES-256-GCM, ChaCha20-Poly1305). Pokud někdo zachytí pakety, uvidí jen nesmyslný proud bajtů. Rozluštění hrubou silou by trvalo déle než dobu existence Sluneční soustavy.

Integrita

Každý přenášený blok je podepsán kryptografickým MAC (Message Authentication Code). Pokud se někdo pokusí změnit paket v přenosu — třeba jen jediný bit — příjemce uvidí, že podpis nesedí, a relaci ukončí. To znamená: poskytovatel internetu už nemůže vložit reklamní banner do vaší stránky a útočník na veřejné Wi-Fi nemůže do odpovědi podstrčit JavaScript malware.

Autenticita

Certifikát vydaný důvěryhodnou autoritou (CA) dokazuje, že doména patří právě té organizaci, která ji provozuje. To znemožňuje vytvořit phishingovou kopii vašeho webu na stejné doméně — prohlížeč jednoduše nedůvěřuje padělanému certifikátu. Útoky typu man-in-the-middle (MITM), kdy se útočník vydává za skutečný server, jsou bez kompromitované CA nemožné.

Co HTTPS NEDĚLÁ

Je důležité tomu rozumět, protože „mám SSL, jsem v bezpečí" je častý omyl. HTTPS chrání pouze přenosový kanál. Vše ostatní jsou samostatné úlohy:

Hrozba Chrání HTTPS Co je opravdu potřeba
Odposlech provozu ve Wi-Fi Ano HTTPS
Záměna obsahu v přenosu Ano HTTPS
SQL injekce, XSS Ne Bezpečný kód, WAF, validace vstupů
Zranitelnosti v pluginech CMS Ne Pravidelné aktualizace
Brute-force útoky na admin panel Ne Silná hesla, 2FA, fail2ban
DDoS útoky Ne Ochrana na úrovni sítě (L3/L4) i aplikace (L7)
Slabá SSH hesla na serveru Ne Autentizace klíčem, zákaz root loginu
Zastaralé TLS protokoly (POODLE, BEAST) Částečně Vypnout staré protokoly SSLv3, TLS 1.0 a TLS 1.1 na úrovni serveru

⚠️ K otázce konfigurace TLS: i s platným certifikátem může mít server špatně nastavenou kryptografii — povolené zastaralé šifry, povolený TLS 1.0/1.1, chybějící OCSP stapling. Otestujte svůj web na SSL Labs — pokud máte známku nižší než A, je čas aktualizovat konfiguraci. Detaily najdete v našem materiálu o SSL/TLS Security Guide.

Co se v HTTPS změnilo za osm let po Chrome 68

Článek z roku 2018 popisoval situaci v té době. Za osm let se technologie webového šifrování zásadně změnila — a v mnoha případech k lepšímu bez nutnosti zásahu ze strany provozovatele webu, na úrovni samotných prohlížečů a serverů.

TLS 1.3 se stal výchozím

TLS 1.3 vyšel v srpnu 2018 jako RFC 8446 — prakticky současně s Chrome 68. První handshake se zkrátil z 2 RTT na 1 RTT, přibyla podpora 0-RTT pro opakovaná spojení (session resumption), zastaralé šifry (RC4, 3DES, SHA-1) byly z protokolu úplně vyřazeny.

V roce 2026 je TLS 1.3 standard v Nginxu, Apache, IIS i Caddy „out of the box". TLS 1.2 je stále podporován kvůli kompatibilitě, ale TLS 1.0 a 1.1 jsou oficiálně deprecated podle IETF (RFC 8996) a prohlížeče je blokují.

Mixed content je plně blokován

Dříve, pokud HTTPS stránka načítala obrázek nebo skript přes HTTP, prohlížeč ukázal rozbitý zámeček, ale obsah pustil. V roce 2020 začal Chrome blokovat mixed content ve výchozím nastavení: nejprve skripty a styly, poté obrázky, nakonec všechno. V roce 2026 se smíšený obsah jednoduše nenačte — bez výjimek.

HTTP/3 jde do produkce

HTTP/3 nad QUIC (UDP místo TCP) je v roce 2026 podporován Cloudflare, Googlem, Facebookem, většinou velkých CDN a moderními verzemi Nginxu. Technicky vyžaduje HTTPS — bez šifrování QUIC prostě neexistuje. To znamená, že přechod na HTTPS otevřel cestu k nové generaci transportních protokolů. Detaily v našem materiálu o HTTP/3 a jeho dopadu na výkon.

HTTP/3 požadavky v DevTools prohlížeče s response kódy 200 a časy zpracování

Certifikáty se zkrátily

V roce 2020 byla maximální platnost veřejných certifikátů omezena na 398 dní (dříve 3 roky). V roce 2024 CA/Browser Forum odhlasovalo další zkracování — až na 47 dní do roku 2029. Logika je prostá: krátká platnost = rychlejší odvolání kompromitovaných certifikátů. V praxi to znamená: bez automatizace (Certbot, acme.sh) se certifikáty ručně udržovat nedají.

HSTS a preload listy se staly normou

HSTS hlavička (HTTP Strict Transport Security), která byla v článku z roku 2018 zmíněna jako „bonus", je v roce 2026 standardní součástí základní konfigurace. Velké weby (Google, Facebook, banky) jsou zahrnuty v preload listu, který je zakompilován přímo do prohlížečů. To znamená: prohlížeč ani při prvním přístupu nezkusí HTTP.

Na obzoru — post-kvantová kryptografie

V roce 2024 začal Chrome experimentovat s post-kvantovými algoritmy výměny klíčů (X25519Kyber768). Logika: až (nebo pokud) se objeví dostatečně silné kvantové počítače, dokážou prolomit současnou kryptografii s veřejným klíčem. Inženýři velkých společností proto už nyní připravují odolné standardy. V roce 2026 je to ještě experiment, ale za 3–5 let se to stane novým standardem — stejně jako svého času TLS 1.3.

Pokud váš web stále běží na HTTP

V roce 2026 je to vzácný případ, ale takové weby se ještě objevují — většinou staré firemní stránky, které se roky neaktualizovaly, nebo interní systémy, ke kterým se nikdo nedostal. Pokud je to váš případ, migrovat jste měli včera.

Stručný plán bez detailů:

  1. Získat certifikát. Pro většinu webů — bezplatný Let's Encrypt přes Certbot. Pro e-commerce s finanční zárukou — komerční OV/EV od DigiCert nebo Sectigo.
  2. Nakonfigurovat server. Nginx nebo Apache s podporou TLS 1.2/1.3, moderními šiframi a OCSP stapling. Kontrola — SSL Labs, známka A nebo vyšší.
  3. Opravit mixed content. Všechny interní odkazy, cesty k obrázkům, CSS a JS převést na HTTPS. Kontrola — DevTools v Chrome, záložka Console zobrazí všechny blokované zdroje.
  4. Nastavit 301 přesměrování z HTTP na HTTPS. Kvůli vyhledávačům a uživatelům, kteří přicházejí přes staré odkazy. Bez přesměrování se ztrácejí SEO pozice.
  5. Aktualizovat Google Search Console. Přidat HTTPS verzi jako samostatnou property, aktualizovat sitemap.xml, ověřit indexaci.
  6. Zapnout HSTS. Hlavičku, která prohlížeč nutí používat výhradně HTTPS. Po ověření, že vše funguje — žádost o zařazení do preload listu.

ℹ️ Detailní krokový průvodce s příklady konfigurací Nginxu a Apache, řešením mixed content, testováním a nastavením Google Search Console najdete v našem samostatném článku o migraci na HTTPS a HTTP/2.

Co čeká HTTPS v následujících letech

Pokud trend posledních osmi let bude pokračovat, dalších pět let přinese několik důležitých změn.

47denní certifikáty

CA/Browser Forum schválilo plán postupného zkracování maximální platnosti certifikátů: 200 dní (2026) → 100 dní (2027) → 47 dní (2029). To definitivně ukončí trh ručního managementu certifikátů — bez automatizace žádný web nepřežije. Dobrá zpráva: Certbot a acme.sh takto fungují léta, takže není třeba se učit nic zvláštního.

Post-kvantová kryptografie

V letech 2025–2027 budou prohlížeče a servery postupně získávat podporu hybridních algoritmů výměny klíčů (klasický + post-kvantový). Do roku 2030 se to stane standardem. Provozovatel webu nebude muset dělat nic zvláštního — aktualizace Nginxu nebo Apache nové algoritmy automaticky přinese.

ECH (Encrypted Client Hello)

Rozšíření TLS, které šifruje i jméno domény během handshake. V současnosti je hostname vidět v otevřené podobě — i když je zbytek provozu šifrován, poskytovatel vidí, jaké weby navštěvujete. ECH to uzavírá. Cloudflare už podporuje, Chrome zapíná postupně. Široká podpora se očekává do roku 2027.

Přechod na DoH/DoT ve výchozím nastavení

Šifrování DNS dotazů (DNS over HTTPS, DNS over TLS) je už v Chrome a Firefoxu zapnuté, ale zatím podmínečně. Za pár let to bude výchozí chování — a poslední velká „díra" v tom, co o vaší aktivitě vidí poskytovatel, se uzavře. Detaily v našem materiálu „Co je DNS a jak funguje".

💡 Shrnutí pro provozovatele webu: v roce 2026 HTTPS není jedním z kroků zajištění bezpečnosti — je to nulový bod. Pokud web nemá HTTPS, není v rizikové zóně, ale v zóně neexistence pro vyhledávače a uživatele. Vše ostatní se staví až nad tím.

🚀 Nastavení HTTPS „na klíč" od týmu Hostiserver

Pokud se nechcete sami zabývat certifikáty, TLS konfigurací a mixed content — inženýrský tým Hostiserveru to dělá každý den.

💻 Cloud (VPS) Hosting

  • Od $19.95/měs — KVM izolace, plný root přístup
  • Bezplatný SSL Let's Encrypt s automatickou obnovou
  • Předkonfigurovaný TLS 1.3 a moderní šifry hned po startu
  • HTTP/2 a HTTP/3 podporované „out of the box" na Nginxu
  • Pomoc s migrací z HTTP — technická podpora to dělá zdarma pro nové klienty
  • 24/7 inženýrská podpora — <10 min odezva, bez call centra

🖥️ Dedikované servery

  • Od $90/měs — úplná izolace, žádní sousedé na železe
  • TLS naladěný na A+ v SSL Labs — standardní součást předání serveru
  • Placené OV/EV certifikáty — pomoc s objednávkou a instalací
  • SLA 99.9 % uptime se zárukou ve smlouvě
  • Bezplatná migrace z jiného poskytovatele, včetně SSL a konfigurací

💬 Nejste si jisti, která varianta je pro vás?
💬 Napište nám a se vším pomůžeme!

Časté dotazy

Bude HTTP někdy v prohlížečích úplně zablokováno?

Pravděpodobně ne — v tom smyslu, že úplný zákaz HTTP by způsobil problémy pro interní systémy, lokální vývoj (localhost) a některá IoT zařízení. Ale uživatelský zážitek byl udělán natolik negativním (červené varování přes celou obrazovku, nemožnost odeslat formulář bez explicitního potvrzení), že HTTP už reálně není použitelné pro veřejné weby. Není to zákaz, ale je to funkční konec.

Je pravda, že Let's Encrypt je méně důvěryhodný certifikát než placený?

Technicky — ne. Let's Encrypt vydává certifikáty stejného typu (DV — Domain Validation) jako placené DV certifikáty od Comodo nebo RapidSSL. Kryptografie je stejná, úroveň šifrování je stejná, úroveň důvěry prohlížečů je stejná. Rozdíl spočívá ve validaci organizace: placené OV/EV certifikáty ověřují, že doména patří konkrétní právnické osobě, což přidává vrstvu důvěry pro e-commerce a finanční weby. Pro blog, firemní web nebo landing page je Let's Encrypt víc než dost.

Pokud na webu nemám formuláře ani platby, proč HTTPS?

Několik důvodů kromě ochrany formulářů. Za prvé, bez HTTPS nelze zapnout HTTP/2 a HTTP/3 — web bude znatelně pomalejší. Za druhé, HTTPS vás chrání před injekcí cizí reklamy a malwaru ze strany poskytovatele cestou. Za třetí, bez HTTPS Google snižuje váš web ve výsledcích vyhledávání. Za čtvrté, uživatelé vidí „Not Secure" v prohlížeči a nedůvěřují. V roce 2026 je absence HTTPS prostě neprofesionální.

Dá se důvěřovat každému certifikátu podepsanému CA?

Obecně ano, ale s výhradami. Seznam důvěryhodných CA, který je zabudován v prohlížečích a operačních systémech, je kontrolován a pravidelně revidován. Pokud je zjištěno, že CA vydává podvodné certifikáty (jak se stalo s DigiNotar v roce 2011 nebo Symantec v roce 2017), prohlížeče odvolají důvěru celé autoritě. Existuje také veřejný Certificate Transparency log, kde jsou registrovány všechny vydané certifikáty, a vlastník domény může monitorovat, zda nebyl vydán nějaký padělaný certifikát na jeho jméno.

Stojí za to přejít na HTTP/3, nebo stačí HTTP/2?

Záleží na publiku. Pokud vaši uživatelé sedí hlavně na mobilu s nestabilním připojením (4G, metro, cestování), HTTP/3 přinese znatelný rozdíl, zejména v metrikách TTFB a LCP. Pokud jde o B2B web se stabilním desktopovým provozem, rozdíl je méně viditelný. V každém případě by se mělo konfigurovat obojí: HTTP/3 pro ty, kdo ho podporují, HTTP/2 jako fallback pro ostatní. Samotný přechod na HTTP/3 nevyžaduje změny v kódu webu — je to práce na úrovni webového serveru.

Jak ověřit kvalitu TLS konfigurace mého webu?

Nejjednodušší — test na SSL Labs. Zdarma, trvá 1–2 minuty, ukáže známku od A+ po F, výpis podporovaných šifer a potenciální problémy (slabé klíče, zranitelné šifry, chybějící OCSP stapling). Cílem by mělo být A nebo A+. Pokud máte nižší známku, je to signál, že je čas aktualizovat konfiguraci serveru. Pokud se v tom sami nechcete vrtat, technická podpora hostingového poskytovatele to obvykle dělá zdarma.

Contents

Sdílejte tento článek

MANAGED VPS STARTING AT

$19 95 / mo

NEW INTEL XEON BASED SERVERS

$80 / mo

CDN STARTING AT

$0 / mo

 

Tento web používá cookies. Používáním tohoto webu souhlasíte s politikou ochrany osobních údajů.