Jak snadno a rychle získat SSL certifikát

Jak snadno a rychle získat SSL certifikát

Zabezpečení webových stránek SSL certifikátem by měl mít již každý provozovatel webu. Nejedná se jen o firemní stránky, e-shopy a velké projekty, ale i o běžné blogy a jednoduché stránky. SSL certifikát zajistí zabezpečenou komunikaci mezi serverem a prohlížečem a neumožní nikomu přenášený obsah odposlechnout a hlavně změnit. I když máte statický web a domníváte se, že SSL certifikát nepotřebujete, nasazením HTTPS komunikace zajistíte vyšší bezpečnost vašich návštěvníků, pro které stránky tvoříte.

Od verze Chrome 68 budou nezabezpečené stránky označovány v adresním řádku „Nezabezpečeno“. Získat a nasadit SSL certifikát však není tak složité, jak by se mohlo zdát a proto je tu náš návod jak na to.

Kde a jak získat SSL certifikát?

SSL certifikát si můžete zakoupit u některé certifikační autority nebo na projektu SSLmentor.cz, který ty stejné SSL certifikáty nabízí za mnohem výhodnější ceny. Pokud hostujete doménu na některém z moderních webhostingů, je pravděpodobné že v nabídce služeb je i certifikát Let’s Encrypt, který je často nabízen za příplatkovou cenu k webhostingu. V tomto návodu se budeme věnovat komerčním SSL certifikátům, které lze získat již za stokoruny a jsou plně důvěryhodné ve všech moderních prohlížečích a také mobilních telefonech.

Nejlevnější certifikáty pro zabezpečení jedné domény jsou aktuálně na trhu Comodo PositiveSSL a nebo certifikát RapidSSL. Jedná se o tzv. doménové certifikáty (DV), jelikož pro vystavení je pouze ověřována existence domény a zda žadatel může s doménou nakládat. Pokud potřebujete zabezpečit své jednoduché webové stránky, ukážeme si jak lze nový certifikát získat.

Postup objednání SSL certifikátu

  • navštivte projekt SSLmentor a vyberte si z nabídky nejlevnějších SSL certifikátů 
    • doporučujeme volbu Comodo PositiveSSL nebo RapidSSL, oba certifikáty nabízí shodné fungování
  • vyplňte a potvrďte objednávku SSL certifikátu
    • vložte název domény a vyberte délku platnosti certifikátu (1 nebo 2 roky)
    • vyberte si e-mail, na který bude zaslán validační e-mail
    • během objednávky nemusíte vyplňovat žádost o certifikát
    • pro vyplnění fakturačních údajů využijte automatické načtení firemních dat
  • po úspěšném potvrzení objednávky můžete neprodleně přejít do administrace certifikátů
    • administraci můžete navštívit i později, nový zákazník obdrží informace e-mailem
  • Administrace certifikátu nabízí
    • úhradu certifikátu on-line
    • editaci zadaných údajů, změnu potvrzovacího e-mailu
    • vložení CSR (žádosti o certifikát), která je nutná pro vystavení certifikátu

Vygenerování žádosti (CSR) o certifikát

Fungování HTTPS protokolu funguje na základě symetrického a asymetrického šifrování. Certifikační autorita potvrzuje, tedy certifikuje, pravost veřejného klíče. K tomu slouží žádost o certifikát (Certificate Signing Request), která obsahuje údaje o žadateli a také veřejný klíč. Žádost o certifikát generuje buď administrátor serveru, můžete si ji vytvořit sami například v OpenSSL programu a nebo ji jednoduše vytvořit v administraci po objednávce.

Generování CSR
Generování CSR

Jakmile vytvoříte žádost o certifikát a uložíte si privátní klíč, můžete objednávku uhradit. V případě uhrazení platební kartou nebo PayPalem je objednávka ihned poslána do certifikační autority. Ta během chvíle zašle na vybraný e-mail potvrzení k ověření existence domény a také že doménu můžete spravovat a máte k ní přístup. Pokud objednávku hradíte převodem z banky, bude zpracována neprodleně po připsání platby na účet.

Potvrzení validačního e-mailu

Certifikační autorita doménu validuje zasláním e-mailu na některý z e-mailů admin@ nebo administrator@, webmaster@, hostmaster@ a postmaster@. Tyto e-mailové schránky nejsou svévolně vymyšlené autoritou, ale jsou dohodnuty CAB fórem (sdružení výrobců prohlížečů, certifikačních autorit a firem tvořící operační systémy), které se stará o pravidla celého systému certifikátů.

Může se stát, že e-mail nepřijde. Například schránka není ještě zřízená, je nastaven vysoký stupeň ochrany proti spamům atd. V tom případě je možné jej nechat zaslat znovu, i několikrát.

Jakmile je potvrzena validace, certifikační autorita během minut certifikát vystaví a zasílá certifikát, včetně informací k instalaci na technický kontakt žadatele.

Nasazení SSL certifikátu na web

Před nasazením SSL certifikátu na web byste měli mít k dispozici 3 textové soubory. Jeden s privátním klíčem, druhý s veřejným klíčem a současně soubor s certifikáty od certifikační autority. to jsou takzvané mezilehlé certifikáty, které zajišťují řetězec důvěry. Tj. že certifikát bude v prohlížeči jako důvěryhodný. To je hlavní rozdíl mezi self-signed certifikáty, kterým nikdo nedůvěřuje a nejsou vhodné pro nasazení na veřejné stránky.

Nasazení certifikátu na web buď provádí správce serveru nebo je to možné provést v administraci hostingu. Návod jak nasadit certifikát na hosting Wedos publikujeme v naší nápovědě. U jiných hostingů je to podobné.

Dokončení zabezpečení webu – přesměrování z HTTP na HTTPS

Pokud chcete aby se návštěvníci dostali vždy na zabezpečenou verzi webu, do souboru .htaccess je potřeba přidat následující řádky:

RewriteEngine on

# https presmerovani
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://%{SERVER_NAME}/$1 [R=301,L]

Tím se zajistí trvalé přesměrování všech adres na HTTPS://. Jedná se o přesměrování 301 a je doporučováno Googlem, aby nebyly ztraceny pozice ve vyhledávačích. Druhá varianta je dočasné přesměrování 302, ale to se nedoporučuje, pokud bude web na https protokolu trvale, což jistě požadujeme.

Nezapomeňte si ověřit instalaci na Qualys SSL Server Testu

Další kroky pro zabezpečení webu

Se změnou adresy webových stránek na https:// je potřeba ještě vykonat další kroky, jako například upravit celou adresu sitemap v souboru robot.txt a dále.

Google Analytics

Pro měření návštěvnosti v Google Analytics změňte typ protokolu v části: Administrátor – Nastavení služby – Výchozí adresa URL – z rozbalovacího menu vyberte HTTPS verzi.

Search Console

V nástroji Search Console založte novou službu pro web s HTTPS adresou, přidejte znovu sitemap.xml. Starší http:// verzi lze smazat. Pokud potřebujete původní data, vyexportujte si zálohu. Pokud používáte i Bing webmaster Tools, provedete zde novou registraci také.

Seznam.cz

Na seznamu přes přidání nové stránky vložte svoji doménu s adresou https:// a následně si překontrolujte stav indexu na https://search.seznam.cz/kontrolni-formular

 

Kromě doménových certifikátů existují ještě například Wildcard SSL certifikáty pro zabezpečení neomezeného počtu subdomén a také „zelené“ EV SSL certifikáty, které nabízí zobrazení názvu firmy přímo v adresním řádku prohlížeče. V tomto návodu jsme si chtěli ukázat jednoduché získání SSL certifikátu pro zabezpečení webu jedné domény.

 

Souhrn článku
Název článku
Jak získat SSL certifikát
Popis
Informace jak postupovat při získání SSL certifikátu pro webové stránky. Postup objednání, nasazení na webhosting a jaké úkoly musíme udělat po nasazení SSL certifikátu, aby vše fungovalo správně a byla zajištěna bezpečná HTTPS komunikace.
Autor
Publisher Name
Web security s.r.o.

Napsat komentář

27 + = 28