HTTPS - zabezpečený přístup na web

HTTPS (Hypertext Transfer Protocol Secure) je v nadstavba síťového protokolu HTTP, která umožňuje zabezpečit spojení mezi klientem (např. webovým prohlížečem) a serverem před odposloucháváním, podvržením dat a umožňuje též ověřit identitu protistrany. Pro sestavení spojení je na webserveru potřeba SSL certifikát. Bližší informace o druzích, typech SSL certifikátů a způsobech jejich získání najdete na stránce Funkce a typy certifikátů.

Pro nastavení zabezpečeného přístupu využíváme sdílené IP adresy, konfigurace je řešena pomocí metody SNI (Server Name Indication), díky níž není pro každou doménu s HTTPS potřeba vyhrazená IP adresa. Volitelně (za příplatek) můžeme nabídnout i využití vyhrazené IP adresy, povinná může být na některých starších webserverech s PHP 5.2.

Nastavení zabezpečení pomocí Let's Encrypt a self-signed certifikátů je k dispozici v klientské sekci, ve správě příslušné domény v záložce Webserver. Tyto certifikáty zařídíme automaticky (self-signed ihned, Let's Encrypt obvykle během několika minut), automaticky je také prodlužujeme. Pokud má příslušná (sub)doména nějaký alias, je zahrnuta i aliasovaná doména (pomocí SAN). Tamtéž umožňujeme zabezpečený přístup zrušit a také přegenerovat certifikát, což využijete třeba v případě, že přidáte nový alias a chcete mít HTTPS i pro něj (dejte ale pozor na omezení Let's Encrypt).

Ostatní certifikáty (komerční, CA THINline, uživatelem dodaný certifikát), nebo certifikáty na starších serverech zařídíme a nastavíme po uhrazení příslušného poplatku. Objednávku komerčního certifikátu proveďte z klientské sekce (část Objednávky, záložka Objednávka SSL certifikátu).

Certifikační autorita Let's Encrypt poskytuje základní důvěryhodné SSL certifikáty zdarma. Jejich využití má několik technických podmínek a omezení:

• Předpokladem vystavení nového či prodloužení stávajícího certifikátu je ověření domény. To provádíme automaticky, pro úspěšné ověření musí být splněna jedna z následujících dvou podmínek:
  • Doména musí mít nastaveny naše nameservery (v příslušném doménovém registru, nestačí jen DNS záznamy typu NS) a tento stav musí být propsán v Internetu (po čerstvém nastavení nameserverů je třeba vyčkat, až se změna projeví). V tomto případě provedeme ověření DNS záznamem, které je preferovanou variantou. Je spolehlivější, rychlejší, jako jediné umožňuje vystavovat wildcard certifikáty, a umožňuje certifikát vystavit před nasměrováním dané (sub)domény na náš webserver (např. při přesunu odjinud).
  • Doména či subdoména, pro níž je certifikát vystavován, musí být nasměrována na příslušný webserver na našem hostingu. Tzn. musí být nastaven správný DNS záznam typu A, AAAA a/nebo CNAME. V tomto případě provedeme ověření přes HTTP.
  Platí to i pro všechny aliasy, které jsou do certifikátu automaticky zahrnovány také.
• Pro jednu doménu a její subdomény může být vystaveno maximálně 50 nových certifikátů za týden.
• Pro jednu konkrétní doménu či subdoménu může být vystaveno maximálně 5 certifikátů za týden (počítá se i přegenerování či prodloužení).
• Jeden certifikát může obsahovat maximálně 100 doménových jmen (SAN v případě aliasů).
• Délka doménového jména může být maximálně 63 znaků.
• Tato funkce není dostupná na starších webserverech.
• Wildcard Let's Encrypt certifikát může být vystaven pouze pro (sub)doménu, která obsahuje wildcard alias. V tomto případě je vyžadováno ověření DNS záznamem.

Vystavování Let's Encrypt certifikátů nefunguje vždy úplně spolehlivě (jedná se o negarantovanou službu třetí strany). Pokud dojde k chybě, je tento stav vyznačen v klientské sekci. Chyba automaticky zmizí následující den, a požadavek je tak možné zadat znovu (pro nový certifikát nebo přegenerování/prodloužení certifikátu existujícího). Taktéž rychlost vystavení certifikátu není nijak garantována. Běžně to sice trvá jen několik minut, nicméně výjimkou není ani zpracování v řádu hodin.

Let's Encrypt certifikáty prodlužujeme automaticky 30 dní před vypršením jejich platnosti. Pokud není prodloužení z nějakého důvodu úspěšné, další automatické pokusy už neprovádíme. Zůstává ale dostatek času na případné ruční prodloužení. Nicméně pokud nedojde k včasnému prodloužení platnosti certifikátu a zabezpečený přístup tak přestane fungovat, bude certifikát smazán.

Součástí vystavení důvěryhodných SSL certifikátů je vždy ověření domény, pro níž má být certifikát vystaven. Jsou celkem tři stupně ověření, následuje obecný popis ověřovacího procesu.

Ověření domény (DV - Domain Validation)

Základní ověření, zda má žadatel o SSL certifikát kontrolu nad příslušnou doménou. Provádí se čistě pomocí technických prostředků. Standardně s využitím potvrzovacího e-mailu, který je zaslán na určitou schránku na dané doméně (na výběr je jedna ze schránek admin, administrator, hostmaster, postmaster a webmaster). Některé certifikační autority umožňují i alternativní možnosti DV ověření - pomocí DNS záznamu nebo souboru na webu. Pokud doména funguje z našeho hostingu, můžeme DV ověření zajistit sami bez nutnosti asistence uživatele.

Ověření společnosti (OV - Organization Validation)

Ověření společnosti zahrnuje DV a přidává ruční ověření formální existence a právní subjektivity organizace, pro kterou je o SSL certifikát žádáno a která je současně i vlastníkem domény. Součástí tohoto procesu je ověření údajů žadatele ve veřejně dostupných důvěryhodných databázích a telefonické ověření kontaktu společnosti na číslo uvedené ve veřejném telefonním seznamu (Zlaté stránky, hovor v angličtině).

Rozšířené společnosti (EV - Extended Validation)

Rozšířené ověření zahrnuje OV, k němuž přidává ještě ověření zaměstnaneckého poměru kontaktní osoby (dokládá se písemně, tato osoba se také musí účastnit telefonického ověření). Jedná se o nejvyšší stupeň ověření, EV certifikáty jsou v prohlížečích označeny uvedením jména společnosti v adresním řádku.

Běžné SSL certifikáty jsou vystaveny a platné pro jedno konkrétní doménové jméno. Existují ale i speciální typy certifikátů, které umožňují využití s více doménami. Například u aliasů je to jediná možnost nastavení zabezpečeného přístupu na více domén (konfigurační soubor domény totiž může obsahovat pouze jeden certifikát), může to také být řešení finančně výhodnější (jeden vícedoménový certifikát může být levnější, než několik jednodoménových). Jsou dva druhy vícedoménových certifikátů:

Wildcard certifikát je platný pro všechny subdomény dané domény (tj. *.example.com) a to i ty aktuálně neexistující. Ověřuje se stejně, jako certifikát pro příslušnou doménu 2. řádu. Wildcard certifikáty nejsou nabízeny s nejvyšším EV ověřením, jsou k dispozici pouze DV a OV. Do wildcard certifikátu je obvykle zahrnuta i příslušná doména 2. rádu (tj. example.com).

SAN certifikát (Subject Alternativne Name) v sobě obsahuje více různých existujících doménových jmen (i vzájemně nesouvisejících). Může být nasazen společně (typicky u aliasu), nebo i odděleně. Jeho cena se kromě vystavující autority a typu certifikátu odvíjí od počtu domén či subdomén, pro které je vystaven. Tzn. např. example.com, www.example.com, example.net a www.example.net jsou celkem 4 domény. Při vystavení SAN certifikátu se jednotlivě ověřuje každá ze zůčastněných domén, certifikát je vystaven po úspěšném ověření všech.
Jednodoménový certifikát pro subdoménu www (např. www.example.com) je speciální případ - autority k němu obvykle automaticky a zdarma přidávají i SAN pro příslušnou doménu 2. řádu (tj. example.com; platí to i obráceně).

Základní nabídku SSL certifikátů najdete v ceníku, zajistit umíme i certifikáty dalších typů a druhů (např. SAN až pro 200 domén).

Jako doplňkovou službu nabízíme možnost správy cizích SSL certifikátů - tedy certifikátů, které byly získány u nějakého jiného poskytovatele. Tato služba je zpoplatněna ročním poplatkem podle platného ceníku, po aktivaci na příslušné doméně umožňuje libovolně přidávat, měnit a mazat certifikáty z klientské sekce.

Službu můžete objednat z klientské sekce, ze správy příslušné domény, z nastavení HTTPS (v záložce Webserver). Po objednání bude na kontaktní e-mail automaticky zasláno potvrzení objednávky a informace pro platbu. Po uhrazení objednávky bude služba aktivována a v klientské sekci se zobrazí příslušné formuláře. Tato služba není z technických důvodů dostupná na starých serverech sdíleného hostingu s PHP 5.3 a starší a na starých virtuálních a dedikovaných serverech.

Pro nastavení zabezpečeného přístupu s cizím certifikátem je třeba zadat soukromý klíč k certifikátu, samotný certifikát, a pak mezilehlý certifikát (případně certifikáty; důležité je i správné pořadí) certifikační autority, která certifikát vystavila. Data zadávejte ve formátu PEM včetně hlaviček -----BEGIN PRIVATE KEY ----- a -----END PRIVATE KEY -----, resp. -----BEGIN CERTIFICATE ----- a -----END CERTIFICATE -----.

Pro úspěšné prodlužování platnosti Let's Encrypt certifikátů, které provádíme automaticky každé 3 měsíce, je nezbytné, aby byla příslušná doména funkční a splňovala podmínky, které uvádíme výše. To samé případně platí i pro domény, které jsou pro tuto doménu či nějakou její subdoménu nastaveny jako alias. Nejsou-li předpoklady splněny, certifikát s novou platností nemůže být vystaven. Platnost toho původního za nějaký čas vyprší a zabezpečený přístup a tím i celý příslušný web tak přestane fungovat (navíc Let's Encrypt certifikáty, jimž už vypršela platnost, z našich serverů odebíráme.)

Zde je základní postup, jak situaci napravit, aby bylo prodloužení certifikátu možné:

1. Ověřte, že jsou všechny příslušné domény (tzn. "hlavní" hostovaná doména i její případné aliasy) funkční - tedy že například neexpirovaly, nebo nebyly zrušeny (není-li doména v naší správě, tyto faktory nehlídáme). Pokud tomu tak není, zajistěte opětovné zprovoznění problémových domén (například prodloužením jejich platnosti), nebo problematické aliasy v klientské sekci odeberte.
2. Ověřte, že všechny příslušné domény mají v doménovém registru buď nastaveny naše nameservery (pro .cz domény nsset), nebo jsou na příslušný webserver nasměrovány správným A/AAAA/CNAME záznamem. Pokud tomu tak není, zajistěte příslušnou opravu, případně zrušte domény/aliasy, u nichž změnu provádět nechcete či nemůžete. Po provedení úprav je potřeba vyčkat, až se projeví v Internetu (obvykle několik hodin).
3. Pokud byly předchozí kroky úspěšně provedeny, zadejte požadavek na přegenerování certifikátu. To provedete v klientské sekci, ve správě příslušné domény, v části Webserver (tlačítko "přegenerovat" v nastavení HTTPS).

V případě, že doménu na naše servery směrujete přes nějakou proxy CDN, která vyžaduje nastavení svých nameserverů a využití svých IP adres (např. Cloudflare), můžete využít také self-signed certifikát. Ten je pro tento účel dostačující, nastavení provedete snadno v klientské sekci.