SSL certifikát: proč Chrome říká „Není zabezpečeno"

Co zákazník vidí — a proč na tom záleží

Když otevřete web v Chrome nebo Safari, podívejte se do adresního řádku. Pokud web používá HTTPS, prohlížeč adresu prostě zobrazí — nic zvláštního se neděje. Ale pokud web HTTPS nemá, Chrome zobrazí varování „Není zabezpečeno" (v angličtině „Not Secure") přímo vedle adresy.

Dříve prohlížeče ukazovaly zámeček u zabezpečených webů. Dnes je HTTPS tak běžné, že se zámeček už nezobrazuje — Chrome ho v roce 2023 odstranil. Místo toho prohlížeče upozorňují na weby, které HTTPS nemají. Bezpečnost se stala výchozím stavem. Její absence je problém.

Podle výzkumu GlobalSign 84 % lidí opustí nákup, pokud jsou přesměrováni na nezabezpečenou stránku. A téměř 70 % zákazníků nedokončí objednávku na webu, který prohlížeč označí jako nebezpečný.

Co HTTPS vlastně chrání

SSL/TLS certifikát (technologie za HTTPS) zajišťuje tři věci:

• Šifrování — vše, co zákazník na webu zadá (jméno, telefon, e-mail ve formuláři), je zašifrované. I kdyby někdo odposlouchával síť (třeba na veřejné Wi-Fi v kavárně), vidí jen nečitelná data
• Ověření identity — certifikát potvrzuje, že web skutečně patří tomu, kdo to tvrdí. Bez něj by útočník mohl vytvořit falešnou kopii Vašeho webu
• Integrita dat — nikdo nemůže po cestě změnit obsah stránky, vložit reklamu nebo škodlivý kód

Zní to technicky, ale v praxi je to jednoduché: bez HTTPS může kdokoliv na stejné Wi-Fi síti vidět, co Váš zákazník vyplňuje do kontaktního formuláře. Jméno, telefon, e-mail — vše v čistém textu.

Chrome bude HTTPS vyžadovat

Google postupně zpřísňuje přístup k nezabezpečeným webům:

• 2017: Chrome začal zobrazovat „Není zabezpečeno" u stránek s formuláři
• červenec 2018: Chrome označuje všechny HTTP stránky jako „Není zabezpečeno"
• říjen 2018: varování se zobrazuje červeně s výstražným trojúhelníkem
• říjen 2026: Chrome zapne režim „HTTPS by default" — prohlížeč se pokusí všechna spojení navázat přes HTTPS a před návštěvou nezabezpečeného webu zobrazí varovnou stránku

To poslední je zásadní změna. Od října 2026 nebude Chrome tiše zobrazovat HTTP weby — aktivně před nimi bude varovat. Pro web bez SSL to bude jako mít před obchodem ceduli „Vstup na vlastní nebezpečí".

Google HTTPS hodnotí při řazení výsledků

Od srpna 2014 Google používá HTTPS jako faktor řazení ve vyhledávání. Není to nejsilnější signál — kvalitní obsah je důležitější — ale při jinak srovnatelných webech ten s HTTPS se zobrazí výš.

A dnes, kdy 87 % webů celosvětově a přes 95 % webů indexovaných Googlem používá HTTPS, je web bez SSL spíše výjimkou. A Google výjimky nezvýhodňuje.

Jak jsou na tom české weby

Podle Domain Report 2025 od CZ.NIC (správce domény .cz) bylo z testovaných českých domén přes 97 % vybaveno SSL certifikátem. To zní skvěle — ale je tu háček.

Většina certifikátů je sdílených (jeden certifikát pokrývá desítky tisíc domén na sdíleném hostingu). A mít certifikát neznamená, že web správně funguje přes HTTPS. Časté problémy českých webů:

• Web funguje na HTTP i HTTPS — ale nepřesměrovává. Zákazník, který zadá adresu bez „https://", vidí nezabezpečenou verzi
• Smíšený obsah — web má HTTPS, ale obrázky nebo skripty se načítají přes HTTP. Prohlížeč zobrazí varování
• Prošlý certifikát — certifikát má omezenou platnost. Pokud se neobnoví, prohlížeč zobrazí velkou červenou stránku s varováním
• Zastaralá konfigurace — analýza SSLmarket.cz zjistila, že 91 % testovaných českých certifikátů používalo zastaralý hashovací algoritmus SHA-1

GDPR a kontaktní formulář bez HTTPS

Pokud máte na webu kontaktní formulář (jméno, e-mail, telefon), zpracováváte osobní údaje. GDPR (článek 32) vyžaduje „přiměřená technická opatření" k zabezpečení těchto dat a výslovně uvádí šifrování jako jedno z doporučených opatření.

Český Úřad pro ochranu osobních údajů (ÚOOÚ) uvádí, že „každý web by již dnes měl být provozován prostřednictvím šifrovaného protokolu HTTPS" a že „osobní údaje nesmí být ukládány ani přenášeny v nešifrované podobě".

HTTPS sice není v GDPR výslovně povinné, ale provozovat kontaktní formulář přes nešifrované HTTP by bylo velmi obtížné obhájit jako „přiměřené zabezpečení", pokud by došlo k úniku dat.

SSL je dnes zdarma

Jeden z nejčastějších mýtů: „SSL certifikát stojí peníze." Kdysi to byla pravda. Dnes ne.

Let's Encrypt — nezisková certifikační autorita — vydává SSL certifikáty zdarma. Založena v roce 2015, dnes vydává 10 milionů certifikátů denně a pokrývá přes 58 % všech SSL certifikátů na světě. Šifrování je přitom identické s certifikáty za tisíce korun.

Další rozšířené mýty:

• „HTTPS zpomaluje web" — nesmysl. Moderní šifrování má prakticky nulový dopad na výkon. Navíc HTTP/2 (protokol, který web zrychluje) vyžaduje HTTPS
• „Nepotřebuji SSL, nemám e-shop" — ale máte kontaktní formulář. A prohlížeč zobrazí varování na jakémkoliv HTTP webu, ne jen na e-shopech
• „Všechny certifikáty jsou stejné" — existují tři úrovně ověření (DV, OV, EV), ale pro web malé firmy poskytuje bezplatný DV certifikát stejné šifrování jako certifikát za tisíce korun

Jak ověřit svůj web

Nejrychlejší test: otevřete svůj web v Chrome. Vidíte v adresním řádku nápis „Není zabezpečeno"? Pak nemáte HTTPS. Klikněte na ikonu vlevo od adresy — zobrazí se detail zabezpečení a certifikátu.

Pro důkladnější kontrolu:

Jak to řešíme u WebNaNovo

Všechny weby, které stavíme, mají HTTPS od prvního dne. Není to příplatek — je to základ:

• Automatický SSL certifikát — Cloudflare poskytuje bezplatný certifikát s automatickým obnovováním. Nikdy nevyprší, nikdy nezapomenete
• Vynucené HTTPS — HTTP přesměrováváme na HTTPS. Žádný zákazník neuvidí nezabezpečenou verzi
• Žádný smíšený obsah — všechny zdroje (obrázky, skripty, fonty) se načítají přes HTTPS
• Moderní konfigurace — TLS 1.3, silné šifry, hodnocení A+ v SSL Labs
• Bezpečnostní hlavičky — HSTS, X-Content-Type-Options, X-Frame-Options a další ochranné hlavičky nastavené od začátku

HTTPS je dnes naprosté minimum. Vaši zákazníci ho očekávají a Google ho vyžaduje.