SSL/TLS certifikáty

Běžná komunikace po internetu probíhá nešifrovaně, spojení mezi počítači lze jednoduše odposlouchávat. Pomocí SSL/TLS certifikátů se komunikace mezi počítačem uživatele a serverem, na kterém běží webové stránky, šifruje a nemůže tak být odposlouchávaná nebo cestou modifikována.

Návštěvníci webových stránek díky tomu mají jistotu, že data, která serveru předávají (jména, hesla, čísla platebních karet atd.) poskytují pouze provozovateli stránek a žádná třetí osoba k nim při komunikaci nemůže získat přístup.

Zároveň s použitím HTTPS není možné, aby např. free wifi hotspot do webových stránek bez vědomí provozovatele stránky a bez vědomí návštěvníka vkládal vlastní nevyžádaný obsah např. reklamu nebo škodlivý kód.

Stránku zabezpečenou pomocí HTTPS v prohlížečích poznáte podle zelené ikony zámku


Pro více informací a konkrétní nabídku certifikátů SSL od ACTIVE 24 se podívejte na www.ca.cz.  

Let's Encrypt zdarma


Ke každému Linux hostingu zajišťujeme bezplatně a plně automaticky certifikát od certifikační autority Let's Encrypt. Tyto certifikáty jsou v prohlížečích důvěryhodné a mohou být využity pro plnohodnotné zabezpečení webu.

Vystavený certifikát je platný 3 měsíce a je v pravidelných intervalech automaticky obnovován. Odpadá tak starost s aktualizací certifikátu, které se běžně instalují manuálně.
 

Upozornění: Certifikáty Let's Encrypt poskytujeme formou best-effort. Děláme maximum pro to, aby byl certifikát pro web od externí autority zajištěn a pravidelně obnovován, avšak na tuto službu není poskytována žádná záruka. Proto pro důležité weby, jejichž provoz je na validním certifikátu závislý, doporučujeme používat certifikáty komerční. Např. certifikáty s EV (extended validation) poskytují nejvyšší stupeň ověření a v adresním řádku prohlížeče je pak uveden i název společnosti vlastníka domény, čímž zvyšuje důvěryhodnost stránek.


Podmínky pro poskytování Let's Encrypt certifikáty u ACTIVE 24:

  • Generují se pro hlavní název webu i aliasy. Později doplněné aliasy jsou do certifikátu automaticky přidány v řádu několika hodin.
  • Nevydávají se pro hvězdičkové aliasy např. *.active24.cz, místo něj generujeme jen www variantu www.active24.cz. Pokud potřebujete certifikát pro nějakou neuvedenou subdoménu, je potřeba mít nastaven alias s konkrétním jménem.
  • Podmínkou získání certifikátu je správně nastavený DNS záznam směřující na správný hosting server u ACTIVE 24.
  • Let's Encrypt nepodporuje tzv. IDN domény (s diakritikou). Pro takové domény se certifikát nevystaví.
  • Domény se ověřují v databázích obsahujících informace o malwaru. Pokud je zvolená doména na takovém seznamu nalezena, certifikát nebude vystaven.
  • Do jednoho certifikátu není možné nastavit více než 100 aliasů.
  • Při zřízení hostingu je nejprve vygenerován self-signed certifikát a až následně se provede nahrazení za certifikát Let's Encrypt. Může trvat i několik hodin a musí být splněny všechny zmíněné podmínky, než je certifikát vystaven.
  • Dojde-li k nahrání vlastního certifikátu přes zákaznické centrum, nebudou již prováděny žádné pokusy o jeho nahrazení certifikátem Let's Encrypt. Obnovování jiného certifikátu je zcela v režii zákazníka. Pokud byste si přáli zajišťování certifikátu Let's Encrypt obnovit, kontaktujte zákaznickou podporu.


CSR (Certificate Signing Request)


Pro vystavení SSL/TLS certifikátu je potřeba tzv. CSR (Certificate Signing Request). Jedná se o soubor, který obsahuje informace o žadateli a vychází z privátního klíče serveru. CSR vždy generuje správce serveru. 

CSR pro hosting poskytovaný Active24 s operačním systémem Linux lze vygenerovat ze zákaznického centra (postup naleznete v článku Instalace certifikátu), nebo nás můžete požádat o vygenerování CSR pomocí autorizovaného požadavku. Společně s touto žádostí uveďte níže popsané údaje.

CSR musí obsahovat minimálně následující údaje:

Common Name: Doménový název, pro který má být certifikát vystaven, rozlišuje se i doména bez a s WWW. 
             (nejčastěji jsou certifikáty objednávány na doménu s www).

Organisation: Název společnosti, pro kterou má být certifikát vystaven.

Locality: Město

Country: Kód země, zadávejte pouze velkými písmeny (např. CZ)

State: Stát
Upozornění: V uváděných údajích nepoužívejte diakritiku, jedná se o údaje, které mohou být zpětně dohledatelné.


Postup pro vygenerování CSR na vlastním serveru můžete nalézt na stránkách Thawte:

Apache 

Microsoft IIS 7 


Instalace certifikátu


Všechny sdílené virtuální servery s operačním systémem Linux podporují funkci auto-SSL. Díky tomu máte u svého webu aktivní přístup přes zabezpečený HTTPS protokol ihned po zřízení hostingu. Na virtuální server je nejprve vygenerován self-signed certifikát a poté se systém v pravidelných intervalech pokouší certifikát nahradit důvěryhodným od Let's Encrypt. To může trvat několik hodin a je nutné splňovat podmínky pro poskytnutí Let's Encrypt (především mít doménu v DNS nasměrovanou na tento hosting).

Self-signed i Let's Encrypt certifikát lze kdykoliv nahradit libovolným vlastním certifikátem, v takovém případě přebírá zodpovědnost za pravidelnou a včasnou aktualizaci certifikátu uživatel serveru.

Certifikáty jsou na našich Linuxových serverech nainstalované metodou SNI, kdy je na jedné IP adrese nainstalováno více certifikátů. Pokud byste pro svůj certifikát vyžadovali samostatnou IP adresu (kvůli podpoře velmi starých prohlížečů), můžete si ji dokoupit za poplatek 100 Kč bez DPH měsíčně. Objednávku provedete Autorizovaným požadavkem, případně pod tlačítkem Zobrazit, kde najdete volbu Objednat vyhrazenou IP adresu.

V detailu virtuálního serveru v Zákaznickém centru v sekci Služby / Hosting a servery/ Virtuální servery se u položky SSL/TLS certifikát zobrazuje základní informace o aktuálně nainstalovaném certifikátu. Uvidíte zde vydavatele certifikátu, datum jeho expirace a další možnosti správy SSL/TLS.


 

Zobrazit

Zobrazí se podrobnosti o nainstalovaném certifikátu. V případě, že se jedná o self-signed certifikát, je jako vydavatel uvedená doména, ke které je certifikát vystavený. U ostatních certifikátů je zde uvedená certifikační autorita, která certifikát vydala.


 

Nahradit

Zde můžete nahradit aktuálně nainstalován certifikát, objednat nový nebo pro hosting vygenerovat CSR.

  • Objednat si certifikát přesměruje uživatele na naší nabídku komerčních certifikátů, po vydání takto objednaného certifikátu provedeme instalaci naší administrátoři. 
  • Vytvořit CSR pro nový certifikát. Vygeneruje se CSR klíč, který je potřeba pro vystavení SSL/TLS certifikátu u jiného poskytovatele.
  • Rovnou nahrát nový certifikát: Máte-li nový certifikát vystavený, můžete je jednoduše vložit do formuláře a na serveru aktualizovat. Stačí postupovat podle průvodce instalace.

Implementace HTTPS (.htaccess přesměrování)


HTTPS je na Linux hostingu implementováno (stejně jako HTTP) pomocí reverzní proxy Nginx, která provádí tzv. TLS offloading.

Provoz mezi Nginx a Apache už se nešifruje a Apache se o šifrování dozví jen přeneseně. Z toho plynou následující omezení pro aplikace, které se snaží ověřovat, zda se na ně přistupuje přes zabezpečené HTTPS.

- detekce v PHP pomocí proměnné $_SERVER['HTTPS'] !='on' je plně funkční
- proměnná $_SERVER['SERVER_PORT'] obsahuje i při použití HTTPS číslo 80
- detekce v souboru .htaccess pomocí pravidel "RewriteCond %{SERVER_PORT} !^443$" a "RewriteCond %{HTTPS} !on" není funkční! Port v těchto případech bude vždy 8x, dle verze PHP a proměnná HTTPS je vždy Off. Místo proměnné %{HTTPS} je pro detekci potřeba používat proměnnou %{HTTP:X-Forwarded-Proto}.

Přesměrování na HTTPS se zachováním zpětné kompatibility proto doporučujeme provádět následujícími podmínkami:

RewriteCond %{HTTPS} !on

RewriteCond %{HTTP:X-Forwarded-Proto} !=https

RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,QSA,NE]