Je HTTP v roku 2026 úplne mŕtvy?

Funkčne áno pre nový verejný webový prenos. Hlavné prehliadače predvolene používajú režim iba HTTPS, označia HTTP ako Nezabezpečené a pri vyhľadávaní znížia hodnotenie stránok HTTP. Niektoré špecializované kontexty stále používajú HTTP – interné služby v súkromných sieťach, vývoj miestnych hostiteľov, zariadenia internetu vecí za bránami firewall – ale pre verejne prístupné stránky je de facto základom HTTPS.

Prečo trvalo HTTPS tak dlho, kým sa stalo univerzálnym?

Tri dôvody. Po prvé, certifikáty TLS stáli skutočné peniaze – 50 – 300 USD ročne na doménu. Po druhé, nastavenie si vyžadovalo inžinierske úsilie. Po tretie, siete na doručovanie obsahu potrebovali podporovať SNI, aby mohli slúžiť HTTPS ekonomicky vo veľkom rozsahu. Let's Encrypt (2016) zabil prvé dve a moderné CDN vyriešili tretiu. Adopcia sa potom dramaticky zrýchlila.

Skryje HTTPS, ktoré stránky navštevujem?

Väčšinou, ale nie úplne. HTTPS šifruje obsah, ale cieľová IP adresa a názov hostiteľa (cez pole Server Name Indication v TLS handshake) sú viditeľné pre sieťových pozorovateľov. Encrypted Client Hello (ECH) uzatvára túto medzeru a zavádza sa medzi hlavné prehliadače. Pre úplné súkromie metadát potrebujete aj VPN alebo Tor.

HTTP Strict Transport Security, hlavička odpovede, ktorá hovorí prehliadačom, aby odmietli jednoduché HTTP pripojenia k doméne na určitú dobu. Blokuje SSL-stripping útoky. Zoznam predbežného načítania HSTS začleňuje hlavné domény do prehliadačov v čase zostavovania, takže aj prvé pripojenie ide priamo na HTTPS.

Čo je Let's Encrypt?

Bezplatná, automatizovaná, nezisková certifikačná autorita spustená v apríli 2016 skupinou Internet Security Research Group. Vydáva certifikáty prostredníctvom protokolu ACME bez manuálnej papierovačky a bez poplatkov. Let's Encrypt teraz vydáva stovky miliónov aktívnych certifikátov a je jediným najväčším dôvodom, prečo HTTPS prešiel z prémiovej funkcie na základné očakávania.

HTTPS vysvetlené: Ako visiaci zámok ovládol web

HTTPS je protokol, ktorý vkladá visiaci zámok do panela s adresou každého moderného prehliadača. Je to HTTP zabalené v TLS – ale príbeh o tom, ako to prešlo od špecializovanej funkcie elektronického obchodu v roku 1994 k všadeprítomnej cez 90 % + webového prenosu v roku 2026, je jedným z najdôležitejších bezpečnostných víťazstiev v histórii internetu.

Celé telo článku je uvedené v angličtine nižšie.

Čo je vlastne HTTPS

HTTPS — HyperText Transfer Protocol Secure — je rovnaký protokol HTTP, ktorý používajú webové prehliadače a servery od roku 1990, ale navrstvený na Transport Layer Security (TLS) kvôli dôvernosti, integrite a autentifikácii. Predvolený port je 443 namiesto HTTP 80. Adresy URL začínajú https:// namiesto http://. Pre každého, kto sleduje sieť, sa prenos javí ako zašifrované bajty – vidí, že sa pripájate k serveru, ale nie to, čo hovoríte.

Pre podrobnejšie informácie o samotnom TLS si pozrite náš TLS vysvetľujúci. HTTPS je len HTTP-over-TLS.

Historická časová os

1994: Netscape dodáva HTTPS v Navigátore pomocou úplne nového protokolu SSL 1.0. Predovšetkým pre transakcie kreditnými kartami.
2000: RFC 2818 formalizuje HTTP-over-TLS ako internetový štandard.
2010: EFFplain spúšťa HTTPS Everywhere na automatickú inováciu HTTPS Everywhere, stovky hlavných stránok prehliadača Prvý populárny nástroj, vďaka ktorému sa univerzálny HTTPS stal bežným očakávaním.
2016: Let's Encrypt sa verejne spúšťa. Bezplatné certifikáty, automatizované cez protokol ACME. Zrazu HTTPS stojí 0 $ a 90 sekúnd nastavenia namiesto 50 $ ročne a manuálny tanec CSR. Toto je jediný najväčší akcelerátor.
Júl 2018: Prehliadač Chrome začína v paneli s adresou označovať stránky HTTP ako „Nezabezpečené“ . Označenie mení vnímanie používateľov takmer zo dňa na deň.
2019–2020: Podiel HTTPS na všetkej webovej návštevnosti prekračuje 90 % v telemetrii Firefoxu a údajoch prehliadača Chrome.
2021+: Predvoleným režimom je HTTPS, Firefox a Firefox. Blokovanie zmiešaného obsahu, presadzovanie HSTS a transparentnosť certifikátov sú zrelé.
2025: ~71 % z 150 000 najlepších stránok používa HTTPS bezpečne; ~96 % obsluhuje aspoň nejaký HTTPS.

Prečo HTTPS chráni

Odpočúvanie: poskytovatelia internetových služieb, Wi-Fi v kaviarni, transparentné servery proxy, sieťové zariadenia – všetky vidia iba šifrované bytes.
Tampering: stredné boxy nemôžu vkladať reklamy, malvér ani upravené odpovede (skutočný problém na obyčajnom HTTP v roku 2010). trusts.

Prečo HTTPS nechráni

Metadata: IP adresa a názov hostiteľa (cez SNI) sú stále viditeľné pre pozorovateľov siete. Encrypted Client Hello (ECH) uzatvára túto medzeru; rozšírené zavádzanie predvoleného nastavenia stále prebieha.
Kompromit koncového bodu: HTTPS nepomôže, ak bol napadnutý samotný server alebo ak váš prehliadač používa malvér.
Analýza dopravy: veľkosti paketov a dokonca aj vzory šifrovania. Výskumníci preukázali, že obnovujú časti vyhľadávacích dopytov, zdravotný stav a aktivitu obchodovania s akciami iba zo vzorov návštevnosti HTTPS. Protokoly Certificate Transparency robia výsledné útoky zistiteľnými, ale nie nemožnými.

Typy certifikátov

Tri varianty certifikátu TLS:

Overená doména (DV) – dokazuje, že ovládate doménu. Najlacnejšie, najrýchlejšie, čo Let's Encrypt problémy. Typ certifikátu za väčšinou webu v roku 2026.
Overená organizácia (OV) — dodatočne overuje existenciu organizácie. Skromná prémiová cena.
Extended Validation (EV) — overuje totožnosť právnickej osoby prostredníctvom manuálnej dokumentácie. Používa sa na výrazné zobrazenie názvu spoločnosti v paneli s adresou; moderné prehliadače do značnej miery nekládli dôraz na tento rozdiel, pretože používatelia ho v skutočnosti nečítali.

HSTS — hlavička „už mi nikdy neposkytuj HTTP“

HTTP Strict Transport Security (RFC 6797) je hlavička odpovede, ktorá hovorí typu HTTP, bez ohľadu na to, aký používateľ sa k tejto doméne nikdy nepripojí. Blokuje útoky na odstraňovanie SSL, kde aktívny útočník zachytí počiatočnú požiadavku HTTP vo formáte obyčajného textu a zabráni inovácii na HTTPS.

Zoznam predbežného načítania HSTS to posúva ďalej: domény sa pri zostavovaní predkladajú na zoznam zapečatený v prehliadačoch Chrome, Firefox, Safari, Edge a Brave. Historicky prvá návšteva vopred načítanej domény smeruje priamo na HTTPS – bez možnosti pre útočníka zachytiť inováciu. Hlavné webové stránky (banky, poskytovatelia e-mailových služieb, vládne služby) sa takmer všeobecne objavujú na zozname predbežného načítania.

Blokovanie zmiešaného obsahu

Stránka HTTPS, ktorá načítava obrázok HTTP, skript alebo šablónu so štýlmi, má „zmiešaný obsah“ – záruky HTTPS sú porušené, pretože zdroj HTTP by mohol byť sfalšovaný. Moderné prehliadače tieto požiadavky buď automaticky inovujú na HTTPS, alebo ich úplne zablokujú. Do roku 2025 stránky s akýmkoľvek zmysluplným zmiešaným obsahom väčšinou nebudú fungovať v moderných prehliadačoch.

HTTP/2, HTTP/3 a migrácia QUIC

Novšie verzie HTTP sú v praxi iba HTTPS. HTTP/2 (2015) vyžaduje TLS vo všetkých hlavných prehliadačoch. HTTP/3 (2022) beží na QUIC – protokole založenom na UDP, ktorý zakladá TLS 1.3 do jeho samotného základu. Neexistuje žiadny otvorený text HTTP/3. Prechod na QUIC prebieha v tichosti od roku 2022 a teraz poháňa väčšinu návštevnosti služieb Google, Facebook a Cloudflare.

Príbeh Let's Encrypt

Predtým, než Let's Encrypt, získanie certifikátu stálo 50 – 300 USD ročne na doménu a vyžadovalo si to zložitý manuálny proces. Po Let's Encrypt stoja certifikáty 0 USD a vydávajú sa automaticky cez protokol ACME v priebehu niekoľkých sekúnd.

Ekonomický posun bol v celej hre. Prekážka HTTPS klesla zo „zmysluplného projektu“ na „jednoriadkový príkazový riadok“. V kombinácii s kampaňou prehliadača Chrome na zahanbovanie HTTP sa web v priebehu štyroch rokov presunul z väčšinového HTTP na väčšinový HTTPS. To je nezvyčajne rýchle víťazstvo pre bezpečnostnú funkciu.

SSL odizolovanie — útok HSTS zabil

Demonštroval Moxie Marlinspike na Black Hat 2009: útočník v tej istej sieti zachytil počiatočnú požiadavku HTTP používateľa (väčšina používateľov nepíše XPLX20Z1Xbank.com https://bank.com), poskytuje im HTTP verziu stránky a proxy pripojenie k skutočnej HTTPS stránke. Používateľ vidí, čo vyzerá ako správna stránka; útočník vidí ich prihlasovacie údaje v otvorenom texte.

HSTS plus predbežné načítanie HSTS plus univerzálny HTTPS plus režim HTTPS-Only prehliadača spolu spôsobili, že tento útok bol v roku 2026 skutočne mŕtvy proti veľkým webom. HTTP požiadavky. Keď sa HTTPS priblížilo k 100 %, portály na prihlásenie do siete začali potichu zlyhávať – váš telefón sa pripojil k sieti Wi-Fi, ale nemohol nič načítať, pretože každá moderná aplikácia najskôr vyskúšala HTTPS. iOS aj Android pridali detekciu portálu na prihlásenie, ktorá testuje malý známy koncový bod HTTP, aby zistil zachytenie a spustil tok prihlásenia. Väčšina veľkých portálov na prihlásenie funguje v roku 2026; niektorí ešte nie.

Často kladené otázky

Je HTTP v roku 2026 úplne mŕtvy?: Funkčne áno pre nový verejný webový prenos. Hlavné prehliadače predvolene používajú režim iba HTTPS, označia HTTP ako Nezabezpečené a pri vyhľadávaní znížia hodnotenie stránok HTTP. Niektoré špecializované kontexty stále používajú HTTP – interné služby v súkromných sieťach, vývoj miestnych hostiteľov, zariadenia internetu vecí za bránami firewall – ale pre verejne prístupné stránky je de facto základom HTTPS.
Prečo trvalo HTTPS tak dlho, kým sa stalo univerzálnym?: Tri dôvody. Po prvé, certifikáty TLS stáli skutočné peniaze – 50 – 300 USD ročne na doménu. Po druhé, nastavenie si vyžadovalo inžinierske úsilie. Po tretie, siete na doručovanie obsahu potrebovali podporovať SNI, aby mohli slúžiť HTTPS ekonomicky vo veľkom rozsahu. Let's Encrypt (2016) zabil prvé dve a moderné CDN vyriešili tretiu. Adopcia sa potom dramaticky zrýchlila.
Skryje HTTPS, ktoré stránky navštevujem?: Väčšinou, ale nie úplne. HTTPS šifruje obsah, ale cieľová IP adresa a názov hostiteľa (cez pole Server Name Indication v TLS handshake) sú viditeľné pre sieťových pozorovateľov. Encrypted Client Hello (ECH) uzatvára túto medzeru a zavádza sa medzi hlavné prehliadače. Pre úplné súkromie metadát potrebujete aj VPN alebo Tor.
čo je HSTS?: HTTP Strict Transport Security, hlavička odpovede, ktorá hovorí prehliadačom, aby odmietli jednoduché HTTP pripojenia k doméne na určitú dobu. Blokuje SSL-stripping útoky. Zoznam predbežného načítania HSTS začleňuje hlavné domény do prehliadačov v čase zostavovania, takže aj prvé pripojenie ide priamo na HTTPS.
Čo je Let's Encrypt?: Bezplatná, automatizovaná, nezisková certifikačná autorita spustená v apríli 2016 skupinou Internet Security Research Group. Vydáva certifikáty prostredníctvom protokolu ACME bez manuálnej papierovačky a bez poplatkov. Let's Encrypt teraz vydáva stovky miliónov aktívnych certifikátov a je jediným najväčším dôvodom, prečo HTTPS prešiel z prémiovej funkcie na základné očakávania.