Nové verze prohlížečů Chrome a Firefox od října 2018 zruší důvěryhodnost SSL certifikátů vydaných společností Symantec před 1. prosincem 2017. Týká se kompletně SSL certifikátů autorit Symantec, GeoTrust, RapidSSL a Thawte. Všechny platné certifikáty je nutné přeinstalovat a vystavit znovu co nejdříve, nově pod hlavičkou společnosti DigiCert. Zajistí se tak bezproblémová funkčnost do konce platnosti certifikátu.
Informace o důvodech, které vedly k tak radikálnímu řešení, že společnost Symantec musela „odprodat“ svoji PKI divizi certifikační autoritě DigiCert jsme psali v článku Google kontra Symantec. Podle posledních průzkumů je bohužel ještě desetitisíce starých certifikátů neobnovených a majitelům stránek hrozí veliké ztráty.
Přečtěte si recenzi – RapidSSL certifikát
Co hrozí při neobnovení certifikátu
Jakmile budou vydány nové verze prohlížečů Chrome 70 (datum vydání 16. říjen 2018) a Firefox 63 (23. říjen 2018), návštěvníci při přístupu na stránky se starým SSL certifikátem RapidSSL uvidí následující hlášení.
Hláška bude stejná jak pro certifikát RapidSSL pro zabezpečení jedné domény, tak i pro Wildcard RapidSSL k neomezenému zabezpečení sub-domén. Pouze zkušený uživatel klikne na volbu ADVANCED a bude schopen povolit a zobrazit www stránky.
Jak zjistit problémový SSL certifikát?
Zjistit, zda jsou stránky zabezpečené certifikátem, který bude nedůvěryhodný, je v prohlížeči Chrome velice jednoduché. Stačí na stránkách zmáčknout klávesu F12, případně CTRL+SHIFT+J, která otevře Vývojářskou konzoli (záložka „Console“), ve které bude zvýrazněná textová informace o ukončení podpory.
The SSL certificate used to load resources from https://domenaxyz.cz will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.
Jak obnovit zdarma certifikát RapidSSL
Obnovení certifikátu během doby platnosti se nazývá REISSUE SSL certifikátu a je certifikačními autoritami poskytováno zdarma. Důvodem pro obnovu může být například přesun webových stránek na jiný server/hosting, havárie serveru a nemožnost obnovy privátního klíče nebo privátní klíč nelze spárovat s veřejným klíčem. Nebo také nutnost obnovit certifikát na základě vzniklé situace v bezpečnosti, což je případ obnovy RapidSSL certifikátů.
Reissue SSL certifikátu RapidSSL si může každý zákazník zajistit sám díky webovému rozhraní End User Portal.
RapidSSL End User Portal
Certifikační autorita RapidSSL nabízí všem zákazníkům, bez ohledu kde byl certifikát objednán, webové rozhraní End User Portal, které nabízí přehled informací o certifikátu a několik možností správy certifikátu – obnovení SSL certifkátu (menu Reissue Certificate) nebo Revokaci, tedy zneplatnění certifikátu v případě kompromitace privátního klíče.
Jak získat přístup do portálu:
Adresa přístupu: https://products.geotrust.com/orders/orderinformation/authentication.do
Ve formuláři na stránce do pole „Common name:“ vložte přesný název domény, pro kterou byl certifikát vystaven. Do pole „Email address:“ vyplňte e-mailovou adresu TECHNICKÉHO KONTAKTU, na kterou autorita certifikát zaslala. Po vložení ochranného čísla klikněte na tlačítko Continue a pokračujte dalším krokem na stránku výběru certifikátu, ke kterému chcete získat přístup a požádejte o přístup volbou na tlačítko „Request Access“. Certifikační autorita následně zašle na vyplněný e-mail odkaz k přístupu do End User Portálu.
Obnova SSL certifikátů RapidSSL
Obnova certifikátu probíhá prakticky stejně jako žádost o nový. Je nutné nutné vygenerovat a připravit žádost o certifikát (CSR) a privátní klíč. Po potvrzení žádosti musí také proběhnout validace žadatele. Jelikož RapidSSL certifikáty jsou pouze doménové, validace tedy probíhá zasláním e-mailu na některou z vybraných a existujících schránek na doméně: admin@, administrator@, webmaster@, hostmaster@ nebo postmaster@.
Zajištění obnovy není složitý proces, jak ukazuje i toto krátké video.
Oficiální nápověda na obnovení RapidSSL certifikátu je k dipozici na adrese How to reissue a RapidSSL Certificate.
Obnova + Prodloužení platnosti současně
SSL certifikáty, které expirují v následujících 90 dnech, doporučujeme rovnou obnovit. Nevyužité období bude převedeno do nového SSL certifikátu. Lze se tak vyhnout opětovnému brzkému obnovování stejného certifikátu!
Obnovu SSL certifikátu si můžete zajistit ze lepší cenu přes projekt SSLmentor, i v případě že máte SSL certifikát RapidSSL od jiného dodavatele.
Alternativa k RapidSSL
Alternativou ke vzniklé situaci je získání nového SSL certifikátu ComodoPositiveSSL, který zajistí kvalitní HTTPS komunikaci za nižší cenu od certifikační autority Comodo. Druhou možností je nahradit certifikát RapidSSL na webhostingu certifikátem Let’s Encrypt. Pokud máte postižený certifikát, je nejvyšší čas situaci vyřešit.
Děkuji za váš návod, zvládl jsem to rychle a včas.