Podrobnosti k bezpečnějšímu HTTPS přístupu ke katalogům

  V minulosti se přístup ke knihovním katalogům zřizoval pomocí staršího a tradičního protokolu HTTP, který však přenášená data nijak nešifruje a je tedy možné relativně jednoduše odchytit komunikaci a vyčíst z ní např. co čtenář hledá, rezervuje si, četl, apod., zkrátka vše co se ke čtenáři přenáší a co on sám zadává ( tj. i přístupové údaje zadávané při přihlašování do katalogu ap. ) ! Na tuto skutečnost na nezabezpečených stránkách již začaly upozorňovat i nové verze některých prohlížečů ( např. Firefox nejvýrazněji v poli pro zadávání hesla ). V Chrome budou brzy všechny stránky zobrazené přes HTTP označeny jako nezabezpečené !

  Moderní systémy však používají zabezpečený protokol HTTPS, který komunikaci šifruje ( např. internetové bankovnictví by si bez něj žádná banka netroufla provozovat ). Jeho předpokladem je získání tzv. certifikátu, který vám vydá certifikační autorita, bývá to placená služba, podle důvěryhodnosti této autority, záruk, kvality certifikátu, délky jeho platnosti, atd.. Během jeho získávání bude vydávající certifikační autoritou ověřena identita vaší organizace nebo alespoň domény. Získaný certifikát pak musí být při konfiguraci HTTPS přístupu zadán do webového serveru, který vystavuje vaše stránky a hlavně nad ním běží váš webový katalog. A musí být na vašem firewallu chránícím vaši knihovnu nově povolen i přístup přes HTTPS ( většinou TCP port 443 ).

  Konfigurace HTTPS je tedy práce pro zkušeného technika, náš klasický webový katalog je postaven nad webserverem IIS nebo Apache, HTTPS se tedy konfiguruje v nich - jde o obecnou IT znalost, toto nemusí dělat naše firma, ani to není součástí instalace. Důkazem budiž asi 20 našich katalogů přístupných přes HTTPS v srpnu 2017, které si nakonfigurovali sami jejich správci. Celkem je přístupných našich asi 500 katalogů přes HTTPS ( zahrnuje i Tritius a katalogy ReKSu provozované na stejných serverech ). Konfigurace HTTPS od nás není v běžné ceně WWW katalogů pro Clavius. V SSLtestu umíme většinou dosáhnout hodnocení A. Původní HTTP nezakazujeme, doporučujeme jej nechat souběžně dožít a neodstřihneme tak např. IE ve Windows XP ( ale příp. zákaz může provést i váš správce ). Jen před autorizovanými funkcemi směrujeme odkaz na web s HTTPS. Propagujte ale hlavně nový zabezpečený přístup.

  Uvědomte si, prosím, že certifikáty jsou vázány na určité DNS jméno domény nebo přímo serveru. Má-li být přístup ověřen platným certifikátem, musíte používat adresu (URL) s tímto DNS jménem, tedy např. https://knihovny.net, nelze používat např. IP ( https://31.30.125.177 ) ! Pokud vám tedy v intranetu nefunguje běžná vnější adresa vašeho WWW katalogu a musíte používat jinou ( např. vnitřní https://192.168.1.1/katalog ), pak bude správně hlášen nesouhlas certifikátu. Řešením pro otestování může být úprava souboru hosts konkrétního PC v intranetu nebo prosté ignorování nesouhlasu certifikátu, ale správné řešení je rozchodit i uvnitř vaší sítě routing či DNS tak, jako funguje z internetu.

  Upozorňujeme, že pokud se pro HTTPS rozhodnete, podaří-li se jej u vás zprovoznit a budete přístup na váš katalog propagovat přes HTTPS ( např. https://tucapy.knihovny.net/katalog ), bylo by nevhodné od toho po čase upustit a za pár let např. po vypršení platnosti certifikátu jej neobnovit a opět měnit adresu katalogu na starší HTTP ! ( adresu katalogu si poznamenají lidé, dají si jí do záložek v prohlížečích a odkazů ve svých stránkách, atd., proto by se neměla měnit - též viz DNS ).

 Příklad z června 2020, jak si v prohlížeči Chrome ( podobně i v novém Edge ) zobrazíte platnost certifikátu zabezpečeného webu :

Související informace : Naše nabídka HTTPS (ceny), Popis WWW katalogu, Dálkový servis, Bezpečnost na Internetu, Doporučení ÚKR, Pro laiky - co je "port"

Tento dokument spravuje : Ivan Černý


ZPĚT na hlavní stránku Otázky, připomínky : info@lanius.cz