Nejčastější chyby při instalaci SSL certifikátu

Mnozí klienti se nás ptají na to, jak správně nainstalovat SSL certifikát a řeší některá dilemma. Pokusíme se vám nastínit ty nejdůležitější a jak se vyvarovat případných chyb, které by mohly být zneužity třeba k útoku na server.

Test instalace SSL certifikátu na server

SSL Tester

Ověřte si správnost instalace SSL certifikátu na webový server jedním kliknutím a zcela zdarma.

SSL Tester umí mj. ověření správnosti instalace SSL certifikátu i intermediate certifikátů a celého řetězce důvěry, detekce instalace SSL pomocí SNI rozšíření, ověření důvěryhodnosti CA, prohlížení seznamu SAN (Subject Alternative Names) a ještě více…

Web na obou protokolech HTTP a HTTPS

Provozovatelé eshopů se nás často ptají, zda je nutné zabezpečit každou stránku anebo stačí zabezpečit jen nákupní košík a přihlášení k zákaznickému účtu. Zní to logicky — tj. proč šifrovat komunikaci i pro ty stránky, kde se nepřenášejí žádná citlivá data. Ačkoliv je šifrování dostatečně silné na to, aby dnešní počítače se svou výpočetní kapacitou dokázaly komunikaci dešifrovat (to je velmi nepravděpodobné), je nutné si uvědomit, že v takovém případě by bylo nutné zajistit, aby nákupní košík byl dostupný pouze přes zabezpečený protokol HTTPS a zbytek webu pouze přes nezabezpečený protokol HTTP.

Proč tak složitě? Ano, pokud nechcete mít zabezpečenou každou stránku, pak je nutné zajistit, aby se nestalo, že jedna stránka bude dostupná přes oba protokoly (zabezpečený a nezabezpečený). Pokud by totiž měl potenciální útočník k dispozici stejnou stránku v šifrované i nešifrované verzi, bylo by snadnější šifrování prolomit.

Nabízí se hned dvě řešení:

  • zabezpečit celý web (každou stránku) a zakázat nezabezpečený přístup
  • zabezpečit stránky s citlivými údaji a zakázat nezabezpečený přístup na tyto stránky, u ostatních stránek zakázat zabezpečený přístup

Zatížení serveru

Sice spíše zřídka, ale přesto přicházejí dotazy týkající se zatížení serveru při použití zabezpečení pomocí SSL certifikátu. Logicky, pokud se data musí šifrovat, tak je zátěž vyšší než když vše po lince "klouže" nezašifrované v prostém textu.

I průměrný server s vyšší návštěvností by měl při správné konfiguraci zvládnout SSL zabezpečení každé stránky. Rozdíl v zátěži výpočetní kapacity je při použití standardního RSA klíče o délce 2048-bit minimální. Použitím 4096-bit RSA klíče je šifrování silnější, ovšem zatížení serveru výrazně vyšší. Můžete zvážit použití modernějšího 256-bit ECC klíče s výrazně nižšími nároky na server i kontektivitu.

Aktuální verze softwarového vybavení

Nejen operační systém serveru, ale i všechny na něm běžící služby by měly být pravidelně aktualizovány.

U starších verzí jsou vždy nějaká "zadní vrátka", která jsou již dobře zdokumentovaná a která potenciální útočník může zneužít k prolomení zabezpečení. Správce serveru by měl vždy provést update na nejnovější stabilní verzi a bez zbytečného odkladu instalovat bezpečnostní záplaty.

Může Vás zajímat:


Nezapomněli jste na intermediate CA?

Často se setkáváme s tím, že je na server nainstalován serverový SSL certifikát a privátní klíč. Ano, vše funguje. Při pokusu otevřít stránku přes protokol https:// se vše zdá být v pořádku. Jenže v pořádku to vůbec není. Proč?

Jakmile vyzkoušíte více prohlížečů jak na desktopu, tak na mobilním zařízení, rychle zjistíte, že onen důvěryhodný serverový SSL certifikát důvěryhodný není. Prohlížeč totiž zobrazí varování, že SSL certifikát je nedůvěryhodný.

Zapomnělo se na instalaci intermediate CA certifikátu! To je certifikát (nebo i více certifikátů, tzv. certificate trust chain), který prohlížeči pomůže na základě dědičnosti důvěry najít důvěryhodný certifikát certifikační autority (CA). Při instalaci SSL certifikátu je tedy nutné myslet na to, že společně se serverovým SSL certifikátem a privátním klíčem musíte nainstalovat i další certifikát — vždy to je alespoň jeden, ovšem je-li jich více, nainstalujte všechny (stačí je umístit do jednoho souboru jeden pod druhým).


SSL vs. Webmasteři

Instalace SSL certifikátu na webový server se netýká jen správce serveru, ale také webmastera. Webová stránka nesmí načítat obsah z nezabezpečených zdrojů přes protokol HTTP (obrázky, CSS styly, JavaScript atd.). Pokud je na zabezpečené stránce načten byť jen jeden obrázek z nezabezpečeného zdroje (http://), zobrazí prohlížeč varování.

Je tedy nezbytné, aby všechny "cizí" prvky na stránce byly načítány přes protokol HTTPS. K tomu je zapotřebí jednak drobný zásah do zdrojového kódu a také podpora HTTPS s důvěryhodným SSL certifikátem na vzdáleném serveru. Samotná úprava zdrojového kódu je velice jednoduchá — nabízí se hned tři možnosti:

  1. přepsat všechny http:// na https://, nebo
  2. použít relativní adresu, např. /obrazek.jpg, nebo
  3. použít protokolově relativní adresu "//", např. //www.ssls.cz

Protokolově relativní adresa

Protokolově relativní adresa použitím dvou dopředných lomítek "//" namísto protokolu "natvrdo" zajistí, že prohlížeč použije protokol, který je aktuálně používán. Webová stránka zobrazená s použitím protokolu HTTP se tak načte z daného zdroje (serveru) přes http:// a naopak je-li stránka zobrazena s použitím protokolu HTTPS, pak prohlížeč použije https://. Tento zápis najde využití zejména na webových stránkách, které jsou provozovány na protokolu HTTP, ale některé stránky (např. pro registraci či přihlášení uživatelů) jsou přesměrovány na protokol HTTPS.

Protokolově relativní zápis adresy lze použít prakticky všude — u obrázků, CSS stylů, JavaScriptu a dalších. Pro ukázku, všechny tyto zápisy jsou správné:

Dvě dopředná lomítka lze použít i přímo v CSS, například:

SSL certifikát — 139 Kč

Přejděte na důvěryhodný SSL certifikát AlpiroSSL se silným až 256-bit šifrováním a ušetřete.

Zelený adresní řádek

Nepřehlédnutelný indikátor důvěryhodného webu, díky kterému zvýšíte konverze a zisky.

Multidoménové UC/SAN

Skonsolidujte všechny Vaše SSL certifikáty do jednoho multidoménového SSL certifikátu!

Uživatel SSL Přihlášení

Zavřít

Uživatel SSL Nový zákazník

Zavřít
Zavřít
Zavřít
Máte dotaz?
Napište nám
Nenašli jste odpověď na svůj dotaz na stránce Podpora a nejčastější dotazy?
Jméno a příjmení: E-mail:
Odesílám…Odeslat
Tato stránka používá soubory cookies. více informací
Souhlasím