Proč není má stránka zabezpečena?

Stále v prohlížeči nevidíte po úspěšné aktivaci DV SSL a nastavení automatického přesměrování obsahu na protokol HTTPS plně zabezpečenou doménu?
 
V takovém případě bude některá část webu načtena přes nezabezpečený protokol HTTP, například obrázky, javascript soubory a jiné.
V prohlížečích se vám tedy mohou zobrazovat o zabezpečení tyto informace:
 

Upozornění na zabezpečení v prohlížečích

 

Aby se plně zobrazovala informace o zabezpečeném webu(zámek), musí být všechny části webu načteny přes protokol HTTPS.
 
K zjištění jaký obsah a nebo odkazy nejsou načteny přes protokol HTTPS, můžete využít různé offline i online nástroje.
 
Na stránkách https://www.whynopadlock.com/ můžete zadat vaší zabezpečenou stránku do "Secure Address" a spustit pomocí "Test Page" kontrolu zabezpečení HTTPS:
 

Otestování HTTPS na Why No Padlock

 
 
Po dokončení testu se vám zobrazí informace o nastavení HTTPS a SSL certifikátu. Pod těmito informacemi již uvidíte červeně zvýrazněné "Mixed Content - Errors":
 

Výsledek testu na Why No Padlock

 
 
V souhrnu jsou uvedeny na zadané URL části webu, které nejsou načteny přes protokol HTTPS.

Dle tohoto výsledku můžete provést potřebné úpravy v obsahu vašich webových stránkách.

Obvykle stačí doplnit ve zdrojovém kódu stránky nebo šabloně v odkazu písmeno "s" do protokolu HTTP, tak jako by níže byla opravena první chyba "Hard Failure":
 
Hard Failure:

<script src="http://http.badssl.com/test/imported.js"></script>

Chyba opravena:

<script src="https://http.badssl.com/test/imported.js"></script>
 

Tento problém je možné také řešit pomocí HTTP hlavičky Content-Security-Policy: "upgrade-insecure-requests;". Tato hlavička zajistí načtení souborů přes protokol HTTPS - není pak již nutné zasahovat do obsahu webu.

Hlavičku vložíte do souboru s názvem .htaccess v rootu webu (adresář /www) na FTP účtu k ostatnímu obsahu v něm. V případě provozu webhostingu na serveru s OS Linux: 

Header set Content-Security-Policy: "upgrade-insecure-requests;"
U webhostingu s OS Windows vložíte níže uvedený obsah také v rootu webu (adresář /www) do konfiguračního souboru s názvem web.config: 

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="upgrade-insecure-requests" />
</customHeaders>
</httpProtocol>
</system.webServer>
</configuration>

Pokud odkazujete na obsah mimo váš web, musí být tento obsah dostupný přes protokol HTTPS.