Zabezpečení webových stránek SSL certifikátem by měl mít již každý provozovatel webu. Nejedná se jen o firemní stránky, e-shopy a velké projekty, ale i o běžné blogy a jednoduché stránky. SSL certifikát zajistí zabezpečenou komunikaci mezi serverem a prohlížečem a neumožní nikomu přenášený obsah odposlechnout a hlavně změnit. I když máte statický web a domníváte se, že SSL certifikát nepotřebujete, nasazením HTTPS komunikace zajistíte vyšší bezpečnost vašich návštěvníků, pro které stránky tvoříte.
Od verze Chrome 68 jsou nezabezpečené stránky označovány v adresním řádku „Nezabezpečeno“. Získat a nasadit SSL certifikát však není tak složité, jak by se mohlo zdát a proto je tu náš návod jak na to. V návodu se budeme věnovat komerčním SSL certifikátům, které lze získat již za stokoruny a jsou plně důvěryhodné ve všech moderních prohlížečích a také mobilních telefonech.
Kde a jak získat SSL certifikát?
Přímo u certifikační autority
SSL certifikát si můžete zakoupit přímo u vybrané certifikační autority. Zde bychom však chtěli upozornit, že cena SSL certifikátů kupovaných na stránkách certifikačních autorit je často vyšší o desítky procent! Jedním z důvodů je, že autority nabízí své služby celosvětově a nebyly by schopny zajistit podporu běžným uživatelům. Partneři autorit mají výrazné slevy a mohou s lokální podporou zajistit zákazníkům nejlepší servis.
Před objednáním si srovnejte ceny!
- SSL certifikát RapidSSL koupený přímo u CA RapidSSL – 1 rok $59 (cca 1.300 Kč)
- Cena certifikátu RapidSSL na projektu SSlmentor.cz – 1 rok 345 Kč (cca $15)
U hostingové firmy
Hostingové firmy mívají také v nabídce vybrané komerční certifikační autority. Jelikož se však nespecializují na prodej certifikátů, nabídka je spíše jen jako služba navíc a tomu odpovídají i vyšší ceny. Pokud hostujete doménu na některém z moderních webhostingů, je pravděpodobné že v nabídce služeb je i automatizovaný certifikát Let’s Encrypt, který je nabízen zdarma nebo za mírnou příplatkovou cenu k webhostingu. Tento certifikát nabízí základní zabezpečení HTTPS a je vhodný pro zabezpečení osobních webových stránek, blogů, ale i firemních projektů a webů, kde primárně potřebujeme zajistit https komunikaci.
U specializovaného poskytovatele SSL certifikátů
Nejvýhodnější ceny SSL certifikátů a kvalitní podporu získáte u projektů jako je SSLmentor.cz, které se specializují na zajištění komerčních SSL certifikátů. Například nejlevnější SSL certifikáty pro zabezpečení jedné domény jsou aktuálně na trhu z řady PositiveSSL certifikátů a nebo certifikát RapidSSL. Zabezpečení jedné domény lze získat již za nižší stokoruny za rok. Jedná se o tzv. doménové certifikáty (DV), jelikož pro vystavení je pouze ověřována existence domény a zda žadatel o certifikát může s doménou nakládat.
Postup objednání SSL certifikátu
Pokud potřebujete zabezpečit své webové stránky, ukážeme si jak lze jednoduše nový certifikát získat.
- navštivte projekt SSLmentor a vyberte si z nabídky nejlevnějších SSL certifikátů
- doporučujeme volbu PositiveSSL nebo RapidSSL, oba certifikáty nabízí shodné fungování
- vyplňte a potvrďte objednávku SSL certifikátu
- vložte název domény a vyberte délku platnosti certifikátu (1 nebo 2 roky)
- vyberte si e-mail, na který bude zaslán validační e-mail
- během objednávky nemusíte vyplňovat žádost o certifikát
- pro vyplnění fakturačních údajů využijte automatické načtení firemních dat
- po úspěšném potvrzení objednávky můžete neprodleně přejít do administrace certifikátů
- administraci můžete navštívit i později, nový zákazník obdrží informace e-mailem
- Administrace certifikátu nabízí
- úhradu certifikátu on-line
- editaci zadaných údajů, změnu potvrzovacího e-mailu
- vložení CSR (žádosti o certifikát), která je nutná pro vystavení certifikátu
SSL certifikát zdarma
Certifikační autorita Sectigo (dříve se jmenovala Comodo) nabízí k otestování a vyzkoušení SSL certifikát zdarma na 90 dní. Jedná se o plnohodnotný a důvěryhodný SSL certifikát srovnatelný s Let’s Encrypt. Navíc nabízí možnost vyzkoušení práce s klíči nebo otestování funkčnosti komerčních certifikátů na používaném webhostingu.
Celý postup si můžete zcela nezávazně vyzkoušet díky SSL certifikátu ZDARMA!
Vygenerování žádosti (CSR) o certifikát
Fungování HTTPS protokolu funguje na základě symetrického a asymetrického šifrování. Certifikační autorita potvrzuje, tedy certifikuje, pravost veřejného klíče. K tomu slouží žádost o certifikát (Certificate Signing Request), která obsahuje údaje o žadateli a také veřejný klíč. Žádost o certifikát generuje buď administrátor serveru, můžete si ji vytvořit sami například v OpenSSL programu a nebo ji jednoduše vytvořit v administraci po objednávce.
- generování žádosti se provádí v detailu certifikátu
- Informace o objednávce -> CSR: -> Upravit -> Vygenerovat nové CSR z údajů žadatele certifikátu
- Podrobná nápověda také na https://www.sslmentor.cz/napoveda/generovani-zadosti-o-certifikat
Jakmile vytvoříte žádost o certifikát a uložíte si privátní klíč, můžete objednávku uhradit. V případě uhrazení platební kartou nebo PayPal je objednávka ihned zpracována a odeslána do certifikační autority. Ta během chvíle zašle na vybraný e-mail potvrzení k ověření existence domény a také si tak ověří, že doménu můžete spravovat a máte k ní přístup. Pokud objednávku hradíte převodem z banky, bude zpracována neprodleně po připsání platby na účet.
Potvrzení validačního e-mailu
Certifikační autorita doménu ověřuje zasláním e-mailu na některý z e-mailů admin@ nebo administrator@, webmaster@, hostmaster@ a postmaster@. Tyto e-mailové schránky nejsou svévolně vymyšlené autoritou, ale jsou dohodnuty CAB fórem (sdružení výrobců prohlížečů, certifikačních autorit a firem tvořící operační systémy), které se stará o pravidla celého systému certifikátů.
Jakmile je potvrzena validace, certifikační autorita během minut certifikát vystaví a zasílá certifikát, včetně informací k instalaci na technický kontakt žadatele. Certifikát je také ke stažení v administraci.
Může se stát, že e-mail nepřijde. Například schránka není ještě zřízená, je nastaven vysoký stupeň ochrany proti spamům atd. V tom případě je možné nechat validační e-mail zaslat znovu, i několikrát.
Nasazení SSL certifikátu na web
Před nasazením SSL certifikátu na web byste měli mít k dispozici 3 textové soubory. Jeden s privátním klíčem, druhý s veřejným klíčem a současně soubor s certifikáty od certifikační autority. To jsou takzvané mezilehlé certifikáty, které zajišťují řetězec důvěry. Tj. že certifikát bude v prohlížeči jako důvěryhodný. To je hlavní rozdíl mezi self-signed certifikáty, kterým nikdo nedůvěřuje a nejsou vhodné pro nasazení na veřejné stránky.
Nasazení certifikátu na web buď provádí správce serveru nebo je to možné provést v administraci hostingu. Návod jak nasadit certifikát na hosting Wedos publikujeme v naší nápovědě. U jiných hostingů je to podobné.
Dokončení zabezpečení webu – přesměrování z HTTP na HTTPS
Po nasazení SSL certifikátu jednoduše zjistíme, zda je certifikát funkční tak, že zadáme před adresu své domény předponu https://. Prohlížeč by měl ukázat zámeček zabezpečení. V prohlížeči Firefox je zámeček zelený, v posledních verzích prohlížeče Chrome je zámeček šedý.
Pokud chcete aby se návštěvníci dostali vždy na zabezpečenou verzi webu, do souboru .htaccess je potřeba přidat následující řádky:
RewriteEngine on
# https presmerovani |
Tím se zajistí trvalé přesměrování všech adres na HTTPS://. Jedná se o přesměrování 301 a je doporučováno Googlem, aby nebyly ztraceny pozice ve vyhledávačích. Druhá varianta je dočasné přesměrování 302, ale to se nedoporučuje, pokud bude web na https protokolu trvale, což jistě požadujeme.
Nezapomeňte si ověřit instalaci na Qualys SSL Server Testu
Další kroky pro zabezpečení webu
Se změnou adresy webových stránek na https:// je potřeba ještě vykonat další kroky, jako například upravit celou adresu sitemap v souboru robot.txt a dále.
Google Analytics
Pro měření návštěvnosti v Google Analytics změňte typ protokolu v části: Administrátor – Nastavení služby – Výchozí adresa URL – z rozbalovacího menu vyberte HTTPS verzi.
Search Console
V nástroji Search Console založte novou službu pro web s HTTPS adresou, přidejte znovu sitemap.xml. Starší http:// verzi lze smazat. Pokud potřebujete původní data, vyexportujte si zálohu. Pokud používáte i Bing webmaster Tools, provedete zde novou registraci také.
Seznam.cz
Na seznamu přes přidání nové stránky vložte svoji doménu s adresou https:// a následně si překontrolujte stav indexu na https://search.seznam.cz/kontrolni-formular
Kromě doménových certifikátů existují ještě například Wildcard SSL certifikáty pro zabezpečení neomezeného počtu subdomén a také „zelené“ EV SSL certifikáty, které nabízí zobrazení názvu firmy přímo v adresním řádku prohlížeče. V tomto návodu jsme si chtěli ukázat jednoduché získání SSL certifikátu pro zabezpečení webu jedné domény.