SSLmentor

Kvalitní TLS/SSL certifikáty pro webové stránky a internetové projekty.

Administrace
SSL certifikát

SSL certifikát

SSL certifikát

Bezpečnost na internetu klíčová a jedním ze základních stavebních kamenů bezpečnosti jsou SSL certifikáty. Pojďme se s nimy seznámit.

Obsah článku

Co je to SSL certifikát?

SSL certifikát je v podstatě digitální certifikát k doméně. SSL je zkratkou pro protokol Secure Socket Layer (Wiki o SSL), který byl v "internetovém pravěku roku 1994" (např. společnost Google vznikla v roce 1998) vytvořen společností Netscape. Vznikl pro vytvoření bezpečné a šifrované komunikace na internetu mezi uživatelským prohlížečem a webovým serverem. Certifikát je vydaný důvěryhodnou třetí stranou, tzv. certifikační autoritou (CA), která ověřuje žadatele o certifikát/provozovatele webových stránek a vystavuje mu "potvrzení". Místo SSL protokolu se dnes využívá jeho nástupce, standardizovaný protokol TLS (Transport Layer Security), avšak původní název pro SSL certifikáty zůstal zažitý.

Bezpečná komunikace a použití SSL certifikátu se během brouzdání internetem poznala dříve v adresním řádku prohlížeče díky uvedení textu https:// před názvem domén, kde písmeno "S" znamená Secure (HTTPS - Hypertext Transfer Protocol Secure) a zobrazením zámečku. V dnešní době je používání SSL certifikátů naprosto samozřejmé a prohlížeče naopak zobrazují pouze varování při přístupu na nezabezpečené stránky.

Co je to HTTPS?

HTTPS je způsob šifrování dat (informací) odeslaných mezi prohlížečem a webovým serverem. Šifrování chrání návštěvníky a uživatele webových stránek před odposlechem a útoky typu "man-in-the-middle", kdy hacker může ukradnout informace odeslané na webovou stránku, například informace o kreditní kartě nebo přihlašovací údaje. Útočník může také podvrhnout obsah nebo provádět jiné škodlivé útoky. Zabezpečení komunikace HTTPS protokolem je dnes standardem pro všechny webové stránky.

Zabezpečený přenos dat

Jak funguje SSL/TLS komunikace?

Aby byla nastavena zabezpečená HTTPS komunikace, dochází mezi prohlížečem a serverem k tzv. handshake (vyjednávání), kde se vyměňují informace jak se bude komunikovat (typ šifry, vyměňují se šifrovací klíče, atd.). SSL certifikát se využívá na začátku komunikace, kdy na principu asymetrické šifry dochází k výměně klíčů a ověření serveru. Zde je velice důležitá důvěryhodnost certifikační autority která vystavuje SSL certifikát a potvrzuje pravost jeho majitele. Pokud je vše v pořádku, dojde k nastavení HTTPS komunikace a zabezpečení dat probíhá již pomocí symetrického šifrování (šifrování a dešifrování pomocí jediného klíče).

Jak probíhá spojení TLS 1.3 mezi klientem a serverem si můžete krok po kroku zobrazit na skvělé stránce Illustrated TLS Connection - Every byte explained and reproduced.

Asymetrické šifrování funguje pomocí páru šifrovacích klíčů – veřejný a soukromý (Wiki - Asymetrická kryptografie). Veřejný klíč je možné zveřejnit a pokud tímto klíčem kdokoliv zašifruje nějakou zprávu, je zajištěno, že ji bude moci rozšifrovat pouze a jen majitel soukromého klíče ke kterému patří použitý veřejný klíč. Platí to i obráceně, což se výužívá k autentizaci - zašifrovaná zpráva privátním klíčem může být rozšifrována pouze veřejným klíčem náležícímu k privátnímu. A pokud víme, že veřejný klíč patří konkrétnímu subjektu (ověřen u důvěryhodné autority), víme také s kým komunikujeme.

Proč používat SSL certifikát?

SSL certifikát je nutný pro vytvoření a zajištění bezpečné HTTPS komunikace na internetu. Důvodů pro použití SSL certifikátu je mnoho. Ale pozor! SSL certifikát nezabezpečí webové stránky proti hackerům. Pokud neaktualizujete aplikaci jako WordPress nebo programátor špatně naprogramuje web, SSL certifikát neochrání stránky před napadením. Opravdu ne.

Nasazením SSL certifikátu a zabezpečenou HTTPS komunikací primárně chráníme uživatele, návštěvníka stránek před odposlechem komunikace, před vložením zákeřného kódu do stránek nebo změněním obsahu (vkládání reklam, úprava obsahu). Toto je hlavní důvod, proč nasadit SSL certifikát i na ten nejmenší jednostránkový web, kde se domníváme, že nic k ochraně není.

Zásadním důvodem pro nasazení SSL certifikátu jsou přihlašovací a různé formuláře na webu, kde se vkládají citlivá data, která musíme při přenosu na internetu chránit před odposlechem, odcizením a zneužitím.

Webové stránky nemající SSL certifikát jsou ve webových prohlížečích negativně označovány "NOT SECURE" - "Nezabezpečeno" což působí velice nedůvěryhodně.

Nové technologie je možné v prohlížečích využívat pouze u zabezpečené komunikace. Nové protokoly HTTP/2+3 výrazně zrychlují načítání webových stránek a bez HTTPS nepodporují všechny funkce.

SSL certifikáty zajišťují soulad s právními předpisy a normami týkajícími se ochrany soukromí, dodržování standardů.

Klady HTTPS komunikace
  • bezpečná komunikace mezi uživateským prohlížečem a serverem
  • zabezpečení citlivých informací
  • využití nových technologií (rychlý protokol HTTP/2, nové vlastnosti css)
  • autentizace protistrany (webového serveru)
  • SEO zvýhodnění stránek ve vyhledávání Google
  • zrušení označení webu jako "Nezabezpečeno"
Zápory HTTPS komunikace
  • nutnost zajištění SSL certifikátu
  • nutnost obnovy SSL certifikátu
  • technické nastavení https:// komunikace
  • potenciální nefunkčnost webových stránek

Typy SSL certifikátů

Aby mohl být vystaven důvěryhodný SSL certifikát, certifikační autorita (CA) nejprve provede ověření. Tento proces může provést pouze vlastník nebo provozovatel konkrétní domény, což zaručuje, že certifikát získá pouze oprávněná osoba. Existují tři úrovně ověření, které definují typy SSL certifikátů.

Doménové certifikáty (DV SSL - Domain Validation)

K získání certifikátu postačuje pouze ověřit doménu, což je nejrychlejší, nejjednodušší a automatizovaný způsob ověření. Certifikační autorita ověřuje pouze oprávněnost přístupu k doméně uvedené v žádosti o certifikát. Ověření probíhá zasláním e-mailu na pevně dané schránky domény: admin@, administrator@, webmaster@, hostmaster@ nebo postmaster@. Případně lze ověřit vygenerovaným souborem umístěným do FTP prostoru domény či nastavením specifického DNS záznamu.
Jak probíhá doménová validace krok po kroku si můžete prohlédnou na stránce Ověření doménového certifikátu.

Firemní certifikáty (OV SSL - Organization Validation)

Oproti doménové validaci se jedná o manuální proces, kdy certifikační autorita musí ověřit reálnou existenci žadatele. Při validaci opět probíhá ověření domény a také ověření existence firmy. Data se zjišťují ve veřejných autoritativních databázích a každá CA má své postupy ověření.
Výhodou firemních certifikátů je možnost autentizace a potvrzení pravosti komunikace, tedy že stránky které navštěvuji patří společnosti, kterou očekávám.

EV certifikáty (EV SSL - Extended validation)

EV SSL certifikáty jsou nejdůvěryhodnější SSL certifikáty. Dříve byl název firmy zobrazován přímo v zeleném adresním řádku prohlížeče, hned vedle domény. To se od roku 2019 změnilo a lepší volbou jsou nyní firemní certifikáty, které za nižší cenu nabízí stejné vlastnosti.

EV SSL

Druhy SSL certifikátů

Postupným vývojem vzniklo několik druhů SSL certifikátů lišící se převážně počtem zabezpečených domén. Samotné druhy potom nabízí také různé způsoby ověření.

SSL certifikát pro jednu doménu

Nejčastěji se objednávají SSL certifikáty pro jednu doménu, tedy pro konkrétní internetovou doménu. Tyto certifikáty zabezpečí firemní, osobní stránky nebo jakkoliv projekt. SSL certifikáty pro jednu doménu vystavují certifikační autority pro současné použití na adresách s www i bez uvádění www. Pro zabezpečení jedné domény jsou vhodné i nejlevnější SSL certifikáty z naší nabídky.

WildCard SSL certifikát

WildCard certifikáty nebo-li hvězdičkové certifikáty nabízí unikátní vlastnost, kterou je možnost zabezpečení neomezeného počtu sub-domén pod svojí hlavní doménou. Správcům serveru nabízí výrazné ušetření práce a tím i nákladů při instalaci a správě. V žádosti o WildCard certifikát se uvede před doménu hvězdička *.domenaxyz.cz, která umožňuje zabezpečit jakoukoliv sub-doménu na dané úrovni.

Multi-doménový SSL certifikát

Multidoménové SSL certifikáty umožňují zabezpečit více různých domén jedním SSL certifikátem. Tyto certifikáty mohou zabezpečit desítky domén současně, přitom každá doména může být od jiné TLD (.CZ, .COM, .EU, .DE, atd.), čímž se odlišují od WildCard SSL certifikátů pro zabezpečení neomezeně subdomén.
Sloučení zabezpečení domén do multi-doménového certifikátu nabízí ušetření správy mnoha certifikátů a často i výhodnější cenu na zabezpečení jedné domény. Jsou ideální pro firmy vyžadující současné zabezpečení více domén od různých TLD. Multidoménové SSL certifikáty jsou také vhodné pro SSL zabezpečení Microsoft Exchange.

Certifikační autority

Certifikační autorita ověřuje žádost o certifikát a vystavuje potvrzení. Na světě je mnoho certifikačních autorit, aleaby byla certifikační autorita důvěryhodná, musí splňovat stanovená pravidla. Tyto si určují výrobci operačních systémů (Microsoft, Apple) nebo přímo výrobce prohlížeče, jako například Mozilla pro její prohlížeč Firefox, která má vlastní Mozilla CA Certificate Program a udržuje svůj seznam důvěryhodných autorit.

Certifikační autority jsou sdružené v CA/Browser fóru. Členové jsou nejen CA, ale i výrobci prohlížečů, operačních systémů a další firmy z IT (seznam členů). Toto fórum je velice důležité pro rozvoj a kontrolu certifikačních služeb, má vlastní pravidla a požadavky na vystavování certifikátů, kterými se musí certifikační autority řídit.

SSL certifikáty u SSLmentor

Na našich stránkách naleznete kvalitní a důvěryhodné SSL certifikáty od vybraných certifikačních autorit.

Kam dál?

Zpět na Nápovědu
Našli jste chybu nebo něčemu nerozumíte? Napište nám!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum