HTTP vs. HTTPS: Rozdíl mezi HTTP a HTTPS a dopad na SEO

Volba mezi HTTP a HTTPS dávno není otázkou preferencí. Od roku 2018 označuje Google Chrome všechny HTTP stránky jako nezabezpečené a HTTPS je de facto standardem moderního webu. Přesto řada webů stále běží na nešifrovaném protokolu — a platí za to nižšími pozicemi, ztrátou důvěry návštěvníků i vyšším rizikem bezpečnostních incidentů.

Základní rozdíl mezi protokoly

HTTP (HyperText Transfer Protocol) přenáší data mezi prohlížečem a serverem jako prostý text. Kdokoliv na síti může komunikaci odposlouchávat a měnit. HTTPS přidává vrstvu šifrování prostřednictvím protokolu TLS (Transport Layer Security), která zajišťuje důvěrnost, integritu a autentizaci přenášených dat.

Vlastnost	HTTP	HTTPS
Šifrování	Žádné — prostý text	TLS/SSL šifrování
Port	80	443
Certifikát	Není vyžadován	Vyžaduje SSL/TLS certifikát
Bezpečnost dat	Data čitelná třetí stranou	Data šifrována end-to-end
SEO vliv	Negativní signál od roku 2014	Pozitivní ranking faktor
Vizuální indikátor	„Nezabezpečeno” v prohlížeči	Ikona zámku
Požadavek pro HTTP/2	Ne	Ano (u většiny prohlížečů)
Rychlost (TLS 1.3)	Nižší latence handshake	Minimální overhead díky 1-RTT

Podle dat HTTP Archive běží v roce 2024 přes 95 % webových stránek načítaných přes Chrome na HTTPS. Weby bez šifrování jsou dnes výjimkou — a vyhledávače s nimi tak zacházejí.

Bezpečnostní dopady HTTP

Provoz webu na HTTP přináší konkrétní bezpečnostní rizika:

• Odposlouchávání (eavesdropping) — útočník na veřejné Wi-Fi přečte přihlašovací údaje, cookies i obsah formulářů
• Manipulace s daty (tampering) — poskytovatel internetu nebo útočník může do stránky vkládat reklamy nebo škodlivý kód
• Man-in-the-middle útoky — útočník se vydává za server a přesměrovává uživatele na podvržené stránky
• Session hijacking — ukradení session cookies umožňuje převzetí účtu

HTTPS všechny tyto hrozby eliminuje šifrováním komunikace a ověřením identity serveru prostřednictvím certifikační autority.

HTTPS jako ranking faktor

Google v roce 2014 oficiálně potvrdil HTTPS jako ranking signál. Vliv na pozice je dokumentovaný:

• Přímý ranking boost — HTTPS je jedním z potvrzených faktorů řazení
• Vyšší CTR — uživatelé důvěřují výsledkům s ikonou zámku
• Zachování referral dat — při přechodu z HTTPS na HTTPS se přenáší referrer, u HTTP se ztrácí
• Předpoklad pro HTTP/2 — modernější protokol zrychluje Core Web Vitals
• Indexace — Google upřednostňuje HTTPS verze stránek při výběru kanonické URL

Vliv na rychlost webu

Častou obavou je, že šifrování zpomaluje web. U moderního TLS 1.3 je to nepravdivé:

• TLS handshake zabere pouze 1 round-trip (u TLS 1.2 to byly 2)
• 0-RTT resumption umožňuje opakované spojení bez dodatečné latence
• HTTPS je předpokladem pro HTTP/2, který díky multiplexingu a kompresi hlaviček načítání výrazně zrychluje
• HTTP/3 s protokolem QUIC dále snižuje latenci na mobilních sítích

V praxi je web na HTTPS s HTTP/2 výrazně rychlejší než web na HTTP/1.1 bez šifrování.

Migrace z HTTP na HTTPS

Přechod na HTTPS vyžaduje systematický postup. Chybná migrace může vést ke ztrátě pozic a návštěvnosti.

Postup migrace krok za krokem

1. Získejte SSL/TLS certifikát — bezplatný Let’s Encrypt (DV) stačí pro většinu webů, e-shopy zvažte OV/EV
2. Nainstalujte certifikát na server a ověřte funkčnost
3. Nastavte 301 přesměrování ze všech HTTP URL na HTTPS ekvivalenty
4. Aktualizujte interní odkazy — nahraďte absolutní HTTP odkazy za HTTPS nebo relativní cesty
5. Opravte mixed content — zajistěte, že všechny zdroje (obrázky, skripty, styly) se načítají přes HTTPS
6. Aktualizujte sitemapu — všechny URL musí obsahovat prefix https://
7. Upravte soubor robots.txt — ověřte, že neblokuje crawling HTTPS verze
8. Přidejte HTTPS verzi do Google Search Console jako nový property
9. Nastavte HSTS hlavičku — instruuje prohlížeč, aby vždy používal HTTPS

Nejčastější chyby při migraci

• Použití 302 přesměrování místo 301 — vyhledávač nepřenese SEO hodnotu
• Ponechání mixed content — prohlížeč zobrazí varování i na HTTPS stránce
• Zapomenutí na kanonické URL — <link rel="canonical"> musí odkazovat na HTTPS verzi
• Neaktualizované zpětné odkazy v externích profilech (Google Business Profile, sociální sítě)

Kontrolní seznam pro ověření

Po dokončení migrace ověřte:

• Všechny stránky vrací stavový kód 200 na HTTPS
• HTTP verze vrací 301 na odpovídající HTTPS URL
• V prohlížeči se zobrazuje ikona zámku bez varování
• Google Search Console nezobrazuje nové chyby
• Sitemap obsahuje pouze HTTPS URL
• Certifikát má platnost minimálně 90 dní (Let’s Encrypt obnovuje automaticky)

Často kladené otázky

Stačí pro můj web bezplatný certifikát Let's Encrypt?

Pro většinu webů, blogů a menších e-shopů je DV certifikát od Let’s Encrypt zcela dostačující. Šifrování je identické jako u placených certifikátů. OV nebo EV certifikát zvažte pouze tehdy, pokud potřebujete ověření identity organizace — například u bank, pojišťoven nebo velkých e-commerce projektů.

Ztratím po přechodu na HTTPS pozice ve vyhledávačích?

Při správně provedené migraci nikoliv. Krátkodobý pokles pozic je možný (dny až nízké jednotky týdnů), než Google přeindexuje nové URL. Klíčové je správné nastavení 301 přesměrování, aktualizace sitemapy a přidání HTTPS verze do Google Search Console. Dlouhodobě HTTPS pozicím pomáhá.

Jak zjistím, zda můj web obsahuje mixed content?

Otevřete web v prohlížeči Chrome a zkontrolujte konzoli vývojářských nástrojů (F12 → Console). Mixed content se zobrazí jako varování nebo chyba. Pro hromadnou kontrolu celého webu použijte nástroje jako Screaming Frog nebo online službu Why No Padlock. Mixed content znamená, že HTTPS stránka načítá některé zdroje přes HTTP.

Je HTTPS povinné ze zákona?

HTTPS není přímo zákonně povinné, ale nařízení GDPR vyžaduje „přiměřená technická opatření” pro ochranu osobních údajů. Provoz formulářů, přihlašování nebo e-shopu bez šifrování je v rozporu s tímto požadavkem. V praxi je HTTPS nezbytné pro jakýkoliv web, který zpracovává osobní údaje.