Deset let webové bezpečnosti: Co jsme pochopili a kde pořád tápeme

Deset let webové bezpečnosti: Co jsme pochopili a kde pořád tápeme

Čec 10, 2026 web-security ssl-certificates https security-headers dns-security

Deset let webového zabezpečení: Co jsme se naučili a kde stále tápe

Web roku 2016 působí jako prehistorie. Instagram teprve spouštěl Stories. Pokémon Go byl největší aplikací na planetě. A pokud jste chtěli zabezpečit svůj web pomocí HTTPS, patřili jste mezi výraznou menšinu – skupinu, kterou ostatní často považovali za paranoidní nebo marnotratnou.

O deset let později se situace změnila tak dramaticky, že otázka už není „měl bys používat HTTPS?", ale „proč bys ho nepoužíval?". Ale tady je ta věc s pokrokem: nikdy nepřestává vyžadovat víc.

Čísla, která vyprávějí příběh

Když se podíváme na milion největších webů za uplynulých deset let, hlavní čísla jsou upřímně povzbudivá:

  • Přijetí HTTPS: Z přibližně 6 % špičkových webů v roce 2015 na více než 65 % dnes
  • HSTS hlavičky: 22násobný nárůst z 11 000 webů na 252 000
  • Content Security Policy (CSP): Ohromující 125násobný růst z 1 365 na 170 000 webů

Nejsou to jen čísla pro parádu. Když Chrome začal v roce 2017 označovat stránky bez HTTPS jako „Nezabezpečené", webem se prohnala vlna paniky. Ale ten tlak zabral. Dnes, pokud provozujete web bez HTTPS, spíš выпадате z normy než byste byli standardem – obzvlášť na špici žebříčků, kde záleží na návštěvnosti i reputaci.

Dobrá zpráva: Základní zabezpečení se stalo skutečným základem

Opravdu pozitivní výstup z desetiletí dat je, že se baseline podstatně změnil. Před deseti lety měly bezpečnostní hlavičky jako X-Content-Type-Options a X-Frame-Options méně než 5 % špičkových webů. Dnes tyto hodnoty oscilují kolem 30–35 %.

To je důležité, protože nejde o žádné atraktivní funkce. Nikdo nepíše blogové příspěvky o X-Frame-Options (no, skoro nikdo). Jsou to trubky webového zabezpečení – ta neviditelná práce, která brání clickjackingu, útokům na MIME type sniffing a dalším nepříjemnostem. Skutečnost, že se staly standardem, ukazuje, jak daleko se odvětví posunulo v chápání bezpečnosti jako infrastruktury, ne volitelného doplňku.

CSP si zaslouží zvláštní zmínku. Sledovat, jak rostl z 1 365 webů na více než 170 000, je jako vidět startup vyrůst z garáže na průmyslový standard. CSP je opravdu náročné na správnou implementaci – vyžaduje pochopení zdrojů obsahu vašeho webu, skriptů třetích stran, vzorců inline kódu a tak dál. Skutečnost, že tolik týmů si dalo tu práci to udělat správně, ukazuje, že odvětví dospělo ve svém přístupu k obraně do hloubky.

Špatná zpráva: Zůstáváme na plošině (a občas se propadáme)

Tady se ta optimistická nálada trochu komplikuje. Když se podíváte na trajektorii přijetí HTTPS za posledních pár let, křivka se výrazně zploštila. Získali jsme ty „snadné" výhry – weby, které mohly snadno přejít, blogy využívající Let's Encrypt, firmy, které chápaly reputační riziko označení za nezabezpečené.

Co zůstává, jsou tvrdohlavé případy. Legacy aplikace, které by vyžadovaly značnou rekonstrukci. Interní nástroje, které se nikomu nechce ani dotýkat. Stránky vlastněné organizacemi, kde je bezpečnost pořád problémem někoho jiného. To není kritika pokroku webu – jen realita, že posledních 10 % jakékoli křivky přijetí je vždycky nejtěžších.

Ještě znepokojivější je vzestup a pád některých ochran. Extended Validation (EV) certifikáty, prodávané kdysi jako zlatý standard ukazatelů důvěry (pamatujete tu zelenou lištu v prohlížeči?), v podstatě zkolabovaly. Výrobci prohlížečů odstranili specifické UI, které EV certifikáty odlišovalo, a bez toho odlišení není žádný obchodní důvod platit prémiové ceny. Z vrcholu 15 600 přijetí až na necelých 4 000 v roce 2026. Fascinující případová studie toho, jak uživatelský zážitek formuje ekonomiku bezpečnosti.

Nováčci na scéně: Bezpečnost v roce 2026 a dál

Opravdu zajímavá data z nedávných skenování se netýkají starých standardů – ale toho, co přijde potom.

Post-kvantová kryptografie se začíná objevovat v reálném světě. Ještě není rozšířená, ale vidíme první opatrné implementace, jak se odvětví připravuje na budoucnost, kde by kvantové počítače mohly prolomit současné šifrování. To je přesně to, co bezpečnostní svět dělá nejlépe: připravuje se na hrozby dřív, než se materializují.

Cross-origin izolace, ECH (Encrypted Client Hello) a další technologie zachovávající soukromí jsou podobně v rané fázi přijetí. Jsou to stavební kameny webu odolnějšího vůči sledování a manipulaci.

Cookie bezpečnost si také získala renewed pozornost. S tím, jak se třetí strany cookies konečně deprecují napříč prohlížeči (po letech odkladů), hygiena first-party cookies se stala důležitější než kdy dřív. Secure, SameSite-aware cookies nebyly před pěti lety pro mnoho vývojářů prioritou. Dnes jsou to základní požadavky.

Co to znamená pro vaše projekty

Pokud dnes spouštíte nový web nebo aplikaci, zpráva z desetiletí dat je jasná: zacházejte se zabezpečením jako se základní infrastrukturou, ne jako s dodatečným úkolem. HTTPS není volitelné. Bezpečnostní hlavičky nejsou volitelné. Nástroje dospěly, náklady klesly a důsledky vynechání těchto základů vzrostly.

Ale nezastavujte se tam. Hranice webového zabezpečení se posunula. Věnujte pozornost:

  • Připravenost na post-kvantovou éru: Začněte přemýšlet o tom, jak se vaše infrastruktura bude muset vyvíjet
  • Migrace cookies: Zauditujte používání cookies, než vás omezí třetí strany
  • Alternativy zachovávající soukromí: ECH a podobné technologie přicházejí do prohlížeče ve vašem okolí

Web roku 2026 je nezměřitelně bezpečnější než v roce 2016. Ale bezpečnost není cíl – je to neustálý rozhovor mezi obránci a útočníky, standardizačními orgány a výrobci prohlížečů, vývojáři a uživateli. Skutečnost, že ten rozhovor pořád vedeme, pořád měříme, pořád zlepšujeme? To je opravdové vítězství uplynulé dekády.

Ať je dalších deset let tvoření bezpečnějšího webu – jedna hlavička, jeden certifikát a jeden správně nakonfigurovaný server za druhým.


Potřebujete pomoct se základy zabezpečení? NameOcean nabízí SSL certifikáty zdarma, automatizovanou správu DNS a hostingové prostředí nakonfigurované pro moderní bezpečnostní standardy. Protože nejlepší čas zabezpečit váš web byla dekáda zpátky. Druhý nejlepší čas je teď.

Read in other languages:

RU BG EL UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN