HTTPS na doméně
HTTPS na doméně
Dva klíčové principy zabezpečení:
- Identifikace – majitel na webový server nainstaluje SSL certifikát; návštěvníci těchto webových stránek informace o certifikátu vidí ve svém prohlížeči a mohou si tak ověřit, že dostávají obsah od originálního vydavatele
- Šifrování – webový server a počítač mezi sebou přenáší data šifrovaně; SSL certifikát webové stránky obsahuje klíč, díky kterému mohou data obě strany dešifrovat a číst
Kdo vydává SSL certifikát?
SSL certifikáty vydávají tzv. kořenové certifikační autority (CA). Jde o organizace, které jsou v rámci internetu uznávány jako autority pro potvrzování pravdivosti údajů, na základě čehož vydávají digitální SSL certifikáty žadajícím subjektům. V souladu s principem přenosu důvěry pak můžeme důvěřovat obsahu na takové webové stránce, která je podepsána certifikátem od důvěryhodné CA.
Nejznámější certifikační autority (CA)
Seznam.cz není certifikační autoritou. Vydání SSL certifikátu je vždy nutné řešit s hostingovou společností, kde provozujete webové stránky, vybranou CA nebo vybraným prodejcem certifikátů.
Jak získám SSL certifikát pro svou doménu/web?
Postup můžeme rozdělit do několika kroků:- Výběr certifikační autority (CA) dle potřeby (roli hrají osobní preference, cena i typ certifikátu, který chcete)
- Zaslání požadavku na certifikát (CSR) vybrané CA se všemi informacemi o doméně a majiteli
- Prokázání kontroly nad doménou a jejím obsahem (ověření např. vystavením souboru na webový server do určené složky, úpravou DNS záznamu apod.)
- Verifikace ze strany certifikační autority
- Stažení vydaného certifikátu
- Nahrání certifikátu na web
- Přesměrování provozu z http:// na https://
Ukázka nastavení (Wedos)
Vyberete požadovanou CA (Let's Encrypt nebo některý z dalších nekomerčních či komerčních certifikátů), zažádáte o vydání, hosting žádost zprostředkuje a nakonec připravený certifikát aktivuje. Veškeré požadavky na nastavení certifikátu si dohodněte se svým poskytovatelem hostingu. Ten může mít služby spojené s aktivací HTTPS zpoplatněny.
Mám zatím pouze doménu, co teď?
Plánujete-li si zřídit také webový prostor (tzn. hosting, na doméně budete provozovat i webové stránky), nejjednodušší je vybírat hostingovou společnosti dle toho, zda nabízí vygenerování SSL certifikátů. Drtivá většina předních hostingových společností rychlou aktivaci HTTPS svým klientům nabízí, zdarma či za poplatek. I tak se můžete setkat s menšími poskytovateli, kteří takovou možnost nemají.Žádost o certifikát bez webového prostoru bude záviset na konkrétní certifikační autoritě a jejích pravidlech pro ověření žadatele o certifikát. Pokud CA postačuje k ověření úprava DNS záznamů domény, pak pro žádost není bezpodmínečně nutné vlastnit webový prostor.
Typy SSL certifikátů
Existuje několik druhů a úrovní certifikátů, výběr bude záviset na vlastnostech, které od certifikátu vyžadujete a účelu jeho použití. Bližší informace o těchto typech vám poskytne hostingová společnost nebo prodejce, u kterého si certifikát budete zřizovat. Povětšinou pro běžnou webovou stránku postačuje standardní nebo wildcard certifikát (pro jednu nebo více domén), které vydává bezplatně například již zmiňovaný Let's Encrypt.- Standardní certifikáty
- Běžný SSL certifikát – nejběžnější typ certifikátu pro jednu konkrétní doménu (např. pouze pro domena.cz, neplatí pro www.domena.cz, neco.domena.cz aj.)
- Multidoménový certifikát – pro více domén, které si sami určíte (např. domena.cz + www.domena.cz + neco.domena.cz + jinadomena.cz + jinadomena.com + www.jestejinadomena.org atd…)
- Wildcard certifikáty – tzv. hvězdičkové, platí pro doménu i subdomény
- Běžný wildcard certifikát – zabezpečují vše na dané doméně *.domena.cz (platí pro domena.cz, www.domena.cz, neco.domena.cz apod.)
- Multidoménový wildcard certifikát – pro více domén, včetně subdobmén (např. domena.cz, www.domena.cz, neco.domena.cz, jinadomena.cz, www.jinadomena.cz, neco.jinadomena.cz atd.)
- Další certifikáty
- EV certifikát – určen pro firemní subjekty, poskytován pouze komerčními CA, je tak placený; součástí jeho zřízení je tzv. rozšířená validace žadatele (např. firemních údajů); v internetových prohlížečích jej zpravidla poznáte dle zobrazeného názvu společnosti či vydavatele certifikátu
- EV certifikát – určen pro firemní subjekty, poskytován pouze komerčními CA, je tak placený; součástí jeho zřízení je tzv. rozšířená validace žadatele (např. firemních údajů); v internetových prohlížečích jej zpravidla poznáte dle zobrazeného názvu společnosti či vydavatele certifikátu
Jak dlouho certifikát funguje?
Důležité je zmínit, že CA vydává certifikát na omezenou dobu. Po uplynutí doby platnosti certifkátu zabezpečení stránky nebude funkční a internetové prohlížeče mohou návštěvníky při přístupu upozornit na problémy se zabezpečením. Nejlepší je certifikát obnovit (vygenerovat nový certifikát a nainstalovat jej) ještě před expirací toho končícího. Existují také nástroje pro automatické obnovování certifikátů. V případě, že vám certifikát zajišťuje hostingová společnost, na jeho vypršení by vás měl upozornit a eventuálně zajistit automatickou obnovu. Na přesný průběh se však raději informujte předem u svého hostingu.SSL certifikát jinak než přes hosting
Pakliže hostingová společnost, kde provozujete své webové stránky, nemá možnost vygenerovat SSL certifikátu v administračním rozhraní a tuto službu nenabízí ani jiným způsobem (např. přes technickou podporu) nebo nemá v nabídce certifikát, který byste rádi používali, nabízí se tři možnosti:- Přejít k jinému poskytovateli hostingu
Hostingový prostor můžete zakoupit u jiné společnosti, webové stránky přesunout od starého poskytovatele k novému a tam si nechat vygenerovat SSL certifikát v administračním rozhraní (přenášet budete pouze obsah webových stránek či dalších služeb, doména může zůstat u současného registrátora, třeba i u Seznamu; v rámci přechodu budete muset nastavit DNS záznamy od nového poskytovatele). - Vygenerovat certifikát přes online generátor či ručně
Využít můžete též online generátory, kam vyplníte název své domény, projdete průvodcem pro ověření (nahráním souboru na webový server nebo editací DNS záznamů) a na konci obdržíte vybraný certifikát. Bezplatný Let's Encrypt pro vygenerování certifikátu nabízí nástroj s názvem Certbot. Tento způsob je určen pro pokročilé uživatele, kteří ideálně mají zkušenost se správou webového serveru. - Zakoupit certifikát přes prostředníka
Na trhu existuje několik společností, které se zabývají zprostředkování komerčních SSL certifikátů. Prodejci většinou nejprve zaplatíte za zvolený certifikát. Prodejce vám posléze umožní vygenerovat žádost (CSR) pro CA, provede vás ověřením a nakonec vám zajistí certifikát. Takto získaný certifikát je pak nutné ještě nainstalovat na webový server. Informace o tomto procesu vám poskytne prodejce certifikátu.
Mám SSL certifikát, ale v prohlížeči nevidím zámeček (nebo není zelený)
Zabezpečená stránka
v Seznam.cz prohlížeči
v Seznam.cz prohlížeči
- SSL certifikát byl na webový server správně nainstalován, aktivován a vystaven pro správné doménové jméno.
- Na webové stránce se nenačítá žádný nezabezpečený obsah. Stačí, abyste na stránce nechali načítat vložený obsah (tzv. rámce) z webu na HTTP, prohlížeč u takové stránky zámeček nezobrazí. Je nutné být konzistentní a na webu načítat pouze rámce, skripty a další obsah z odkazů na HTTPS. Toto neplatí u odkazů na vaší webové stránce směřujících ven – odkazovat na HTTP webové adresy nadále můžete.
- Různé prohlížeče zabezpečení zobrazují jinak. Rozdíly mezi prohlížeči mohou být značné. Některé prohlížeče zobrazují zámeček šedý, v jiných se může objevit zelený, v některých prohlížečích může být slovně uvedeno "Zabezpečeno", ale také nemusí. Nejste-li si jisti, že je vše, jak má být, na zámeček klikněte a podívejte se na informace o certifikátu.
Při přístupu na mou stránku se zobrazuje upozornění na problém se zabezpečením
To znamená, že certifikát, který máte na webovém serveru nainstalován, není v pořádku. Každý internetový prohlížeč bude hlášení interpretovat rozdílně – některé návštěvníkovi umožní přijmout riziko a na stránku i přesto vstoupit, jiné to umožnit nemusí. V každém případně je nasnadě zkontrolovat stav certifikátu, zejména, zda nedošlo k některému z těchto problému:- Certifikát expiroval – SSL certifikáty se vytavují na omezenou dobu, je nejlepší certifikát nenechat propadnout a obnovit jej před vypršením.
- Certifikát je vystaven na jinou doménu – buď jste do žádosti o certifikát uvedli doménu s překlepem, případně nemáte certifikát pro tzv. subdomény (pozor, máte-li certifikát pro jednu doménu vystavený na domena.cz, adresa wwww.domena.cz jím není zabezpečena a může hlásit chybu zabezpečení; problém vyřešíte vystavením více certifkátů pro každou doménu, příp. jednoho tzv. wildcard či multidoménového certifikátu, více v sekci Typy SSL certifikátů).