Prohlížeče automaticky doplňují https:// do adresního řádku

9. 7. 2021 07:23:24

Ahoj,

možná jsem zaspal dobu, ale zjistil jsem vlastně až v poslední dny, že novější verze prohlížečů začaly do ručně psané URL adresy v adresním řádku cpát protokol https://. Prostě ho tam sám někdy vloží, pokud ho neuvedete sami a napíšete jen doménu. Neděje se to každému, ale děje se to už poměrně často.

Problém tohle není u hlavního webu, ale u podpůrných domén (třeba s pomlčkou či jinou národní doménou), které jsou jen přesměrované. Protože Vám prohlížeč zobrazí tu klasickou hlášku o NEbezpečnosti "Varování: možné bezpečnostní riziko". Ano, jsou to jen domény, SSL tam ani není.

Jak tohle řešíte? Objednáváte nějaký mikrohosting pro každou doménu? Protože mě nenapadá nic jiného, než na každé zprovoznit SSL.

Větší projekty mají přesměrováno třeba i 10 domén s různými koncovkami na hlavní doménu a hledám nějaké jiné řešení, ale podle podpory se tomuhle asi nevyhneme...

9. 7. 2021 07:23:24

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487141

Vladimír Pilný

(62 hodnocení)

9. 7. 2021 07:52:16

SSL je u většiny hostingů zdarma. Máš ho mít všude a nemusel bys tohle řešit.

Na přesměrování použít třeba redirect.host a nebo Cloudflare.

9. 7. 2021 07:52:16

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487140

David Musil

(69 hodnocení)

9. 7. 2021 08:17:22

Nejsem si uplne jisty. U vetsiny hostingu je pro vygenerovani SSL certifikatu zdarma nutne mit zakoupeny hosting. Ziju v tom, ze se SSL instaluje na hosting a ne na domenu.

9. 7. 2021 08:17:22

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487139

Vladimír Pilný

(62 hodnocení)

9. 7. 2021 08:45:43

Tak použij ten redirect.host a nebo CloudFlare :)

9. 7. 2021 08:45:43

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487138

PetrNovy1991

9. 7. 2021 12:18:38

Jestli jsem to správně pochopil:

To, co hledáš, je tzv. HSTS, které tam je na hlavním webu.

Pokud HSTS má parametr includeDomains tak bude i subdomény přesměrovávat na HTTPS.

Pozor, HSTS má často nastavenou cache na rok, pokud tedy jej vypneš a někdo jej navštívil v době, kdy byla zapnuta s platností na rok, tak i když bude nyní vypnutá, půjde hlavní web / subdoména na https

9. 7. 2021 12:18:38

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487137

TomasX

(4 hodnocení)

9. 7. 2021 14:37:50

tohle nejspíš není HSTS a ani preload list. Chrome od verze 90 (vyšel letos na jaře) používá https jako výchozí protokol při zadání adresy, ostatní prohlížeče to následovaly

9. 7. 2021 14:37:50

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487136

TomasX

(4 hodnocení)

9. 7. 2021 14:38:50

tady je k tomu zápisek na blogu Chromu https://blog.chromium.org/2021/03/a-safer-default-for-navigation-https.html

9. 7. 2021 14:38:50

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487135

David Musil

(69 hodnocení)

9. 7. 2021 17:08:40

Napsal TomášX;1626572
tohle nejspíš není HSTS a ani preload list. Chrome od verze 90 (vyšel letos na jaře) používá https jako výchozí protokol při zadání adresy, ostatní prohlížeče to následovaly

Porad je hodne webu, ktere https nemaji. A pokud nekdy lide zadaji primo URL, bude to padat dost lidem. Ale primo zadavat URL asi u tech mensich webu neni moc realne. Jsou ti spis delsi domeny.

9. 7. 2021 17:08:40

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487134

TomasX

(4 hodnocení)

9. 7. 2021 17:29:11

je to hodně otravné, mám kolem sebe pár pouze http různých stavových stránek, dashboardů, routerů a jiných podivností. Nakonec jsem to vyřešil, že mám transparentní proxy lokálně na pc a ta mi to obaluje do https.

Pro weby je ale lepší dnes nasadit https.

9. 7. 2021 17:29:11

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487133

Vladimír Pilný

(62 hodnocení)

9. 7. 2021 17:31:49

Vždyť je to dobře. Akorát odpad weby jsou dneska bez SSL.

9. 7. 2021 17:31:49

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487132

TomasX

(4 hodnocení)

9. 7. 2021 18:50:02

trochu se zapomnělo na celý segment SOHO zařízení, které se konfigurují a ovládají přes webové rozhraní, routery, webkamery, zabezpečovací zařízení, nově pračky, ledničky aj. Je komplikované do nich dostat certifikát zdarma s krátkou platností, i ty placené na rok problém plně neřeší. Někteří přešly na mobilní aplikace, tím se ale problém pouze ukryl z očí a nevyřešil.

Vede to pak ke zranitelným zařízením v domácnostech, nevhodnému naučenému chování uživatelů a v zájmu zabezpečení děláme se někde dělá i více škody než užitku. U internetových stránek to je bez debat, tam https patří povinně.

9. 7. 2021 18:50:02

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487131

oldchoolwt

9. 7. 2021 18:54:29

Firefox nemá s http problém, pokud https není funkční - je jedno, zdá je certifikát ok či ne.

Chrome to hází na https vždy.

Chrome je takový nástroj pro tvorbu standardů dle Google, takže ho doporučuji používat minimálně.

9. 7. 2021 18:54:29

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487130

Tomáš Marek

(23 hodnocení)

9. 7. 2021 19:40:39

Napsal oldchoolwt;1626587
Chrome to hází na https vždy.

Jenom doplním, že ano, Chromium browsery testujou prvně vždy https, ale pokud pokus failne, tak fallbacknou automaticky na http://

Nevím, asi je to tak jak píšeš

možná jsem zaspal dobu

https je dnes už standard a měl by být z bezpečnostního hlediska všude. Nějaký ten free let's encrypt SSL s automatickou obnovou už nabízí snad všude ne?

9. 7. 2021 19:40:39

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487129

David Musil

(69 hodnocení)

9. 7. 2021 21:01:23

Napsal streetcz;1626589
Jenom doplním, že ano, Chromium browsery testujou prvně vždy https, ale pokud pokus failne, tak fallbacknou automaticky na http://
Nevím, asi je to tak jak píšeš
https je dnes už standard a měl by být z bezpečnostního hlediska všude. Nějaký ten free let's encrypt SSL s automatickou obnovou už nabízí snad všude ne?

Ano, na webu ano. Ale ja popisoval problem jen s domenama, ktere jsou presmerovane. A ssl na domenu nedas. Potrebujes hosting. Ja vim, ze jsou mikrohostingy za 10kc mesicne. Ale otevrel jsem debatu, zda je to opravdu nutne udelat skrze hosting, protoze se Chrome najednou chova takto. A mit k webu dalsich 5 domen neni nic podivneho.

9. 7. 2021 21:01:23

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487128

TomasX

(4 hodnocení)

9. 7. 2021 21:09:26

a jak řešíš přesměrování teď bez hostingu?

9. 7. 2021 21:09:26

https://webtrh.cz/diskuse/prohlizece-automaticky-doplnuji-https-do-adresniho-radku/#reply1487127