Nacházíte se zde: Úvod » Pro zákazníky » Nápověda » HTTPS - zabezpečený přístup na web

HTTPS - zabezpečený přístup na web

nahoru

Základní informace o HTTPS

HTTPS (Hypertext Transfer Protocol Secure) je v nadstavba síťového protokolu HTTP, která umožňuje zabezpečit spojení mezi klientem (např. webovým prohlížečem) a serverem před odposloucháváním, podvržením dat a umožňuje též ověřit identitu protistrany. Pro sestavení spojení je na webserveru potřeba SSL certifikát. Bližší informace o druzích, typech SSL certifikátů a způsobech jejich získání najdete na stránce Funkce a typy certifikátů.

Pro nastavení zabezpečeného přístupu využíváme sdílené IP adresy, konfigurace je řešena pomocí metody SNI (Server Name Indication), díky níž není pro každou doménu s HTTPS potřeba vyhrazená IP adresa. Volitelně (za příplatek) můžeme nabídnout i využití vyhrazené IP adresy, povinná může být na některých starších webserverech s PHP 5.2.

nahoru

Nastavení HTTPS

Nastavení zabezpečení pomocí Let's Encrypt a self-signed certifikátů je k dispozici v klientské sekci, ve správě příslušné domény v záložce Webserver. Tyto certifikáty zařídíme automaticky (self-signed ihned, Let's Encrypt obvykle během několika minut), automaticky je také prodlužujeme. Pokud má příslušná (sub)doména nějaký alias, je zahrnuta i aliasovaná doména (pomocí SAN). Tamtéž umožňujeme zabezpečený přístup zrušit a také přegenerovat certifikát, což využijete třeba v případě, že přidáte nový alias a chcete mít HTTPS i pro něj (dejte ale pozor na omezení Let's Encrypt).

Tato funkcionalita je k dispozici na webserverech sdíleného hostingu s řadou PHP 5.4 a vyšší a na všech virtuálních a dedikovaných managed serverech s operačním systémem Debian (tj. založených po 13.6.2012).

Ostatní certifikáty (komerční, CA THINline, uživatelem dodaný certifikát), nebo certifikáty na starších serverech zařídíme a nastavíme po uhrazení příslušného poplatku. Objednávku komerčního certifikátu proveďte z klientské sekce (část Objednávky, záložka Objednávka SSL certifikátu).

nahoru

Podmínky a omezení Let's Encrypt

Certifikační autorita Let's Encrypt poskytuje základní důvěryhodné SSL certifikáty zdarma. Jejich využití má několik technických podmínek a omezení:

  • Příslušná doména musí být funkční, musí mít nastaveny naše nameservery (v příslušném doménovém registru, nestačí jen DNS záznamy typu NS) a tento stav musí být propsán v Internetu (tzn. po čerstvém nastavení nameserverů je třeba vyčkat, až se změna projeví - typicky alespoň jeden den). Je to z důvodu automatického DNS ověření domény při vystavení certifikátu, a to jak nového, tak při prodloužení. To samé platí i pro všechny aliasy, které jsou do certifikátu automaticky zahrnovány také.
  • Pro jednu doménu a její subdomény může být vystaveno maximálně 50 nových certifikátů za týden.
  • Pro jednu konkrétní doménu či subdoménu může být vystaveno maximálně 5 certifikátů za týden (počítá se i přegenerování či prodloužení).
  • Jeden certifikát může obsahovat maximálně 100 doménových jmen (SAN v případě aliasů).
  • Tato funkce není dostupná na starších webserverech.
  • Wildcard Let's Encrypt certifikát může být vystaven pouze pro (sub)doménu, která obsahuje wildcard alias.

Vystavování Let's Encrypt certifikátů nefunguje vždy úplně spolehlivě (jedná se o negarantovanou službu třetí strany). Pokud dojde k chybě, je tento stav vyznačen v klientské sekci. Chyba automaticky zmizí následující den, a požadavek je tak možné zadat znovu (pro nový certifikát nebo přegenerování/prodloužení certifikátu existujícího). Taktéž rychlost vystavení certifikátu není nijak garantována. Běžně to sice trvá jen několik minut, nicméně výjimkou není ani zpracování v řádu hodin.

Let's Encrypt certifikáty prodlužujeme automaticky 30 dní před vypršením jejich platnosti. Pokud není prodloužení z nějakého důvodu úspěšné, další automatické pokusy už neprovádíme. Zůstává ale dostatek času na případné ruční prodloužení. Nicméně pokud nedojde k včasnému prodloužení platnosti certifikátu a zabezpečený přístup tak přestane fungovat, bude certifikát smazán.

nahoru

Proces ověření domény

Součástí vystavení důvěryhodných SSL certifikátů je vždy ověření domény, pro níž má být certifikát vystaven. Jsou celkem tři stupně ověření, následuje obecný popis ověřovacího procesu.

Ověření domény (DV - Domain Validation)

Základní oveření, zda má žadatel o SSL certifikát kontrolu nad příslušnou doménou. Provádí se čistě pomocí technických prostředků. Standardně s využitím potvrzovacího e-mailu, který je zaslán na určitou schránku na dané doméně (na výběr je jedna ze schránek admin, administrator, hostmaster, postmaster a webmaster). Některé certifikační autority umožňují i alternativní možnosti DV ověření - pomocí DNS záznamu nebo souboru na webu. Pokud doména funguje z našeho hostingu, můžeme DV ověření zajistit sami bez nutnosti asistence uživatele.

Ověření společnosti (OV - Organization Validation)

Ověření společnosti zahrnuje DV a přidává ruční ověření formální existence a právní subjektivity organizace, pro kterou je o SSL certifikát žádáno a která je současně i vlastníkem domény. Součástí tohoto procesu je ověření údajů žadatele ve veřejně dostupných důvěryhodných databázích a telefonické ověření kontaktu společnosti na číslo uvedené ve veřejném telefonním seznamu (Zlaté stránky, hovor v angličtině).

Rozšířené společnosti (EV - Extended Validation)

Rozšířené ověření zahrnuje OV, k němuž přidává ještě ověření zaměstnaneckého poměru kontaktní osoby (dokládá se písemně, tato osoba se také musí účastnit telefonického ověření). Jedná se o nejvyšší stupeň ověření, EV certifikáty jsou v prohlížečích označeny uvedením jména společnosti v adresním řádku.

nahoru

Multidoménové certifikáty

Běžné SSL certifikáty jsou vystaveny a platné pro jedno konkrétní doménové jméno. Existují ale i speciální typy certifikátů, které umožňují využití s více doménami. Například u aliasů je to jediná možnost nastavení zabezpečeného přístupu na více domén (konfigurační soubor domény totiž může obsahovat pouze jeden certifikát), může to také být řešení finančně výhodnější (jeden vícedoménový certifikát může být levnější, než několik jednodoménových). Jsou dva druhy vícedoménových certifikátů:

Wildcard certifikát je platný pro všechny subdomény dané domény (tj. *.example.com) a to i ty aktuálně neexistující. Ověřuje se stejně, jako certifikát pro příslušnou doménu 2. řádu. Wildcard certifikáty nejsou nabízeny s nejvyšším EV ověřením, jsou k dispozici pouze DV a OV. Do wildcard certifikátu je obvykle zahrnuta i příslušná doména 2. rádu (tj. example.com).

SAN certifikát (Subject Alternativne Name) v sobě obsahuje více různých existujících doménových jmen (i vzájemně nesouvisejících). Může být nasazen společně (typicky u aliasu), nebo i odděleně. Jeho cena se kromě vystavující autority a typu certifikátu odvíjí od počtu domén či subdomén, pro které je vystaven. Tzn. např. example.com, www.example.com, example.net a www.example.net jsou celkem 4 domény. Při vystavení SAN certifikátu se jednotlivě ověřuje každá ze zůčastněných domén, certifikát je vystaven po úspěšném ověření všech.
Jednodoménový certifikát pro subdoménu www (např. www.example.com) je speciální případ - autority k němu obvykle automaticky a zdarma přidávají i SAN pro příslušnou doménu 2. řádu (tj. example.com; platí to i obráceně).

Základní nabídku SSL certifikátů najdete v ceníku, zajistit umíme i certifikáty dalších typů a druhů (např. SAN až pro 200 domén).

nahoru

Instalace cizích certifikátů

Jako doplňkovou službu nabízíme možnost správy cizích SSL certifikátů - tedy certifikátů, které byly získány u nějakého jiného poskytovatele. Tato služba je zpoplatněna ročním poplatkem podle platného ceníku, po aktivaci na příslušné doméně umožňuje libovolně přidávat, měnit a mazat certifikáty z klientské sekce.

Službu můžete objednat z klientské sekce, ze správy příslušné domény, z nastavení HTTPS (v záložce Webserver). Po objednání bude na kontaktní e-mail automaticky zasláno potvrzení objednávky a informace pro platbu. Po uhrazení objednávky bude služba aktivována a v klientské sekci se zobrazí příslušné formuláře. Tato služba není z technických důvodů dostupná na starých serverech sdíleného hostingu s PHP 5.3 a starší a na starých virtuálních a dedikovaných serverech.

Pro nastavení zabezpečeného přístupu s cizím certifkátem je třeba zadat soukromý klíč k certifikátu, samotný certifikát, a pak mezilehlý certifikát (případně certifikáty; důležité je i správné pořadí) certifikační autority, která certifikát vystavila. Data zadávejte ve formátu PEM včetně hlaviček -----BEGIN PRIVATE KEY ----- a -----END PRIVATE KEY -----, resp. -----BEGIN CERTIFICATE ----- a -----END CERTIFICATE -----.

nahoru

Oprava prodloužení Let's Encrypt certifikátu

Pro úspěšné prodlužování platnosti Let's Encrypt certifikátů, které provádíme automaticky každé 3 měsíce, je nezbytné, aby byla příslušná doména funkční a používala naše nameservery. To samé případně platí i pro domény, které jsou pro tuto doménu či nějakou její subdoménu nastaveny jako alias. Nejsou-li tyto předpoklady splněny, certifikát s novou platností nemůže být vystaven. Platnost toho původního za nějaký čas vyprší a zabezpečený přístup a tím i celý příslušný web tak přestane fungovat.

Zde je základní postup, jak situaci napravit, aby bylo prodloužení certifikátu možné:

  1. Ověřte, že jsou všechny příslušné domény (tzn. "hlavní" hostovaná doména i její případné aliasy) funkční - tedy že například neexpirovaly, nebo nebyly zrušeny (není-li doména v naší správě, tyto faktory nehlídáme). Pokud tomu tak není, zajistěte opětovné zprovoznění problémových domén (například prodloužením jejich platnosti), nebo problematické aliasy v klientské sekci odeberte.
  2. Ověřte, že všechny příslušné domény mají v doménovém registru nastaveny naše nameservery (pro .cz domény nsset). Pokud tomu tak není, zajistěte příslušnou změnu (případně zrušte domény/aliasy, u nichž nameservery měnit nechcete či nemůžete). Po provedení změny nameserverů je potřeba vyčkat, až se projeví v Internetu (obvykle několik hodin).
  3. Pokud jsou předchozí kroky úspěšně splněny, zadejte požadavek na prodloužení certifikátu. To provedete v klientské sekci, ve správě příslušné domény, v části Webserver (tlačítko "přegenerovat" v nastavení HTTPS).

Pokud chcete u domény používat cizí nameservery, a současně ji směrovat na naše servery a zachovat funkční zabezpečený přístup, můžete Let's Encrypt certifikát nahradit nějakým certifikátem komerčním.

V případě, že doménu na naše servery směrujete přes nějakou proxy CDN, která vyžaduje nastavení svých nameserverů (např. Cloudflare), nahraďte Let's Encrypt certifikát self-signed certifikátem, který je pro tento účel dostačující. Nastavení provedete v klientské sekci. Let's Encrypt certifikáty, jimž už vypršela platnost, z našich serverů odebíráme.

nahoru

Zpět na přehled nápovědy

Potřebujete poradit?
Jsme online
Prosím poskytněte nám souhlas s použitím Cookies dle Vašich preferencí:

Nezbytné-funkční cookies

Pro komunikaci, správné fungování webu a uchování Vašich preferencí. Tyto cookies jsou ukládány vždy.