HTTPS na doméně

HTTPS, nebo-li Hypertext Transfer Protocol Secure, je vylepšená a bezpečnější verze protokolu HTTP. Na internetu slouží k přenosu hypertextových dokumentů (webových stránek) a dalších souborů. Příznak Secure nám říká, že s použitím HTTPS je tato komunikace šifrovaná. Na stránkách chráněných HTTPS je mnohem menší pravděpodobnost, že komunikaci (např. přihlašování, platby na internetu) někdo může odposlouchávat nebo pozměňovat.

Dva klíčové principy zabezpečení:
 
  • Identifikace – majitel na webový server nainstaluje SSL certifikát; návštěvníci těchto webových stránek informace o certifikátu vidí ve svém prohlížeči a mohou si tak ověřit, že dostávají obsah od originálního vydavatele
  • Šifrování – webový server a počítač mezi sebou přenáší data šifrovaně; SSL certifikát webové stránky obsahuje klíč, díky kterému mohou data obě strany dešifrovat a číst

 

Kde se bere SSL certifikát?

SSL certifikáty vydávají tzv. kořenové certifikační autority (CA). Jde o organizace, které jsou v rámci internetu uznávány jako autority pro potvrzování pravdivosti údajů, na základě čehož vydávají digitální SSL certifikáty žadajícím subjektům. V souladu s principem přenosu důvěry pak můžeme důvěřovat obsahu na takové webové stránce, která je podepsána certifikátem od důvěryhodné CA.


Nejznámější certifikační autority (CA)

Vybrat si lze z řady veřejných komerčních i nekomerčních CA. Tou nejznámější je jistě Let's Encrypt, vydáván stejnojmennou neziskovou organizací. Je na internetu masivně využíván zejména pro své přednosti – je zcela zdarma a globálně uznáván. Dalším nekomerční CA je CAcert, z komerčních CA můžeme jmenovat např. IdenTrust, Comodo, Digicert.
 
Seznam.cz není certifikační autoritou. Vydání SSL certifikátu je vždy nutné řešit s hostingovou společností, kde provozujete webové stránky, vybranou CA nebo vybraným prodejcem certifikátů.

Jak získám SSL certifikát?

Postup můžeme rozdělit do několika kroků:
  1. Vyberete si certifikační autoritu (CA) dle potřeby (roli hrají osobní preference, cena i typ certifikátu, který chcete)
  2. Zašlete požadavek (CSR) vybrané CA na vydání certifikátu pro vaši doménu se všemi informacemi o vás a doméně
  3. CA vás požádá o prokázání kontroly nad doménou (úprava DNS záznamů, umístění souborů na webový server do dané složky apod.)
  4. CA ověří, že máte pod kontrolou obsah na doméně
  5. Obdržíte certifikát, který nainstalujete na webový server, kde provozujete obsah na doméně
  6. Hotovo, můžete začít využívat primárně adresy HTTPS
Ukázka nastavení (Wedos)
Dobrou zprávou je, že všechny tyto kroky pro vás zpravidla zajistí hostingová společnost, kde provozujete své webové stránky (= máte zaplacen webový prostor). Velké množství hostingových společností dnes nabízí možnost vygenerování SSL certifikátu a aktivace HTTPS v administračním rozhraní hostingu. Tam si vyberete požadovanou CA (Let's Encrypt nebo některý z dalších nekomerčních či komerčních certifikátů), zažádáte o vydání, hosting žádost zprostředkuje a nakonec připravený certifikát rovnou aktivuje. Veškeré požadavky na nastavení certifikátu si dohodněte se svým poskytovatelem hostingu. Ten může mít služby spojené s aktivací HTTPS zpoplatněny.




Mám zatím pouze doménu, co teď?

Plánujete-li si zřídit také webový prostor (tzn. hosting, na doméně budete provozovat i webové stránky), nejjednodušší je vybírat hostingovou společnosti dle toho, zda nabízí vygenerování SSL certifikátů. Drtivá většina předních hostingových společností rychlou aktivaci HTTPS svým klientům nabízí, zdarma či za poplatek. I tak se můžete setkat s menšími poskytovateli, kteří takovou možnost nemají.

Žádost o certifikát bez webového prostoru bude záviset na konkrétní certifikační autoritě a jejích pravidlech pro ověření žadatele o certifikát. Pokud CA postačuje k ověření úprava DNS záznamů domény, pak pro žádost není bezpodmínečně nutné vlastnit webový prostor.

Typy SSL certifikátů

Existuje několik druhů a úrovní certifikátů, výběr bude záviset na vlastnostech, které od certifikátu vyžadujete a účelu jeho použití. Bližší informace o těchto typech vám poskytne hostingová společnost nebo prodejce, u kterého si certifikát budete zřizovat. Povětšinou pro běžnou webovou stránku postačuje standardní nebo wildcard certifikát (pro jednu nebo více domén), které vydává bezplatně například již zmiňovaný Let's Encrypt.
 
  • Standardní certifikáty
    • Běžný SSL certifikát – nejběžnější typ certifikátu pro jednu konkrétní doménu (např. pouze pro domena.cz, neplatí pro www.domena.cz, neco.domena.cz aj.)
    • Multidoménový certifikát – pro více domén, které si sami určíte (např. domena.cz + www.domena.cz + neco.domena.cz + jinadomena.cz + jinadomena.com + www.jestejinadomena.org atd…)
 
  • Wildcard certifikáty – tzv. hvězdičkové, platí pro doménu i subdomény
    • Běžný wildcard certifikát – zabezpečují vše na dané doméně *.domena.cz (platí pro domena.cz, www.domena.cz, neco.domena.cz apod.)
    • Multidoménový wildcard certifikát – pro více domén, včetně subdobmén (např. domena.cz, www.domena.cz, neco.domena.cz, jinadomena.cz, www.jinadomena.cz, neco.jinadomena.cz atd.)
 
  • Další certifikáty
    • EV certifikát – určen pro firemní subjekty, poskytován pouze komerčními CA, je tak placený; součástí jeho zřízení je tzv. rozšířená validace žadatele (např. firemních údajů); v internetových prohlížečích jej zpravidla poznáte dle zobrazeného názvu společnosti či vydavatele certifikátu




Jak dlouho certifikát funguje?

Důležité je zmínit, že CA vydává certifikát na omezenou dobu. Po uplynutí doby platnosti certifkátu zabezpečení stránky nebude funčkní a internetové prohlížeče mohou návštěvníky při přístupu upozornit na problémy se zabezpečením. Nejlepší je certifikát obnovit (vygenerovat nový certifikát a nainstalovat jej) ještě před expirací toho končícího. Existují také nástroje pro automatické obnovování certifikátů. V případě, že vám certifikát zajišťuje hostingová společnost, na jeho vypršení by vás měl upozornit a eventuálně zajistit automatickou obnovu. Na přesný průběh se však raději informujte předem u svého hostingu.


SSL certifikát jinak než přes hosting

Pakliže hostingová společnost, kde provozujete své webové stránky, nemá možnost vygenerovat SSL certifikátu v administračním rozhraní a tuto službu nenabízí ani jiným způsobem (např. přes technickou podporu) nebo nemá v nabídce certifikát, který byste rádi používali, nabízí se tři možnosti:
  1. Přejít k jinému poskytovateli hostingu
    Hostingový prostor můžete zakoupit u jiné společnosti, webové stránky přesunout od starého poskytovatele k novému a tam si nechat vygenerovat SSL certifikát v administračním rozhraní (přenášet budete pouze obsah webových stránek či dalších služeb, doména může zůstat u současného registrátora, třeba i u Seznamu; v rámci přechodu budete muset nastavit DNS záznamy od nového poskytovatele).

  2. Vygenerovat certifikát přes online generátor či ručně
    Využít můžete též online generátory, kam vyplníte název své domény, projdete průvodcem pro ověření (nahráním souboru na webový server nebo editací DNS záznamů) a na konci obdržíte vybraný certifikát. Bezplatný Let's Encrypt pro vygenerování certifikátu nabízí nástroj s názvem Certbot. Tento způsob je určen pro pokročilé uživatele, kteří ideálně mají zkušenost se správou webového serveru.

  3. Zakoupit certifikát přes prostředníka
    Na trhu existuje několik společností, které se zabývají zprostředkování komerčních SSL certifikátů. Prodejci většinou nejprve zaplatíte za zvolený certifikát. Prodejce vám posléze umožní vygenerovat žádost (CSR) pro CA, provede vás ověřením a nakonec vám zajistí certifikát. Takto získaný certifikát je pak nutné ještě nainstalovat na webový server. Informace o tomto procesu vám poskytne prodejce certifikátu.

Mám SSL certifikát, ale v prohlížeči nevidím zámeček (nebo není zelený)

Zabezpečená stránka
v Seznam.cz prohlížeči
Internetový prohlížeč u adresy webové stránky na HTTPS zobrazí zámeček (indikátor, že je stránka zabezpečena důvěryhodným certifikátem) pokud:
 
  • SSL certifikát byl na webový server správně nainstalován, aktivován a vystaven pro správné doménové jméno.
  • Na webové stránce se nenačítá žádný nezabezpečený obsah. Stačí, abyste na stránce nechali načítat vložený obsah (tzv. rámce) z webu na HTTP, prohlížeč u takové stránky zámeček nezobrazí. Je nutné být konzistentní a na webu načítat pouze rámce, skripty a další obsah z odkazů na HTTPS. Toto neplatí u odkazů na vaší webové stránce směřujících ven – odkazovat na HTTP webové adresy nadále můžete.
  • Různé prohlížeče zabezpečení zobrazují jinak. Rozdíly mezi prohlížeči mohou být značné. Některé prohlížeče zobrazují zámeček šedý, v jiných se může objevit zelený, v některých prohlížečích může být slovně uvedeno "Zabezpečeno", ale také nemusí. Nejste-li si jisti, že je vše, jak má být, na zámeček klikněte a podívejte se na informace o certifikátu.
 

Při přístupu na mou stránku se zobrazuje upozornění na problém se zabezpečením

To znamená, že certifikát, který máte na webovém serveru nainstalován, není v pořádku. Každý internetový prohlížeč bude hlášení interpretovat rozdílně – některé návštěvníkovi umožní přijmout riziko a na stránku i přesto vstoupit, jiné to umožnit nemusí. V každém případně je nasnadě zkontrolovat stav certifikátu, zejména, zda nedošlo k některému z těchto problému:
  • Certifikát expiroval – SSL certifikáty se vytavují na omezenou dobu, je nejlepší certifikát nenechat propadnout a obnovit jej před vypršením.
  • Certifikát je vystaven na jinou doménu – buď jste do žádosti o certifikát uvedli doménu s překlepem, případně nemáte certifikát pro tzv. subdomény (pozor, máte-li certifikát pro jednu doménu vystavený na domena.cz, adresa wwww.domena.cz jím není zabezpečena a může hlásit chybu zabezpečení; problém vyřešíte vystavením více certifkátů pro každou doménu, příp. jednoho tzv. wildcard či multidoménového certifikátu, více v sekci Typy SSL certifikátů).
 


Kontaktujte nás