SSL certifikát
Bezpečnosť na internete je kľúčová a jedným zo základných stavebných kameňov bezpečnosti sú SSL certifikáty. Poďme sa s nimi bližšie oboznámiť.
Obsah článku
- Čo je to SSL certifikát?
- Ako funguje SSL/TLS komunikácia?
- Prečo používať SSL certifikát?
- Typy SSL certifikátov
- Druhy SSL certifikátov
- Certifikačné autority
Čo je to SSL certifikát?
SSL certifikát je v podstate digitálny certifikát k doméne. SSL je skratka pre protokol Secure Socket Layer (Wiki o SSL), ktorý bol v "internetovom praveku roku 1994" (napr. spoločnosť Google vznikla v roku 1998) vytvorený spoločnosťou Netscape. Vznikol pre vytvorenie bezpečnej a šifrovanej komunikácie na internete medzi používateľským prehliadačom a webovým serverom. Certifikát je vydaný dôveryhodnou treťou stranou, tzv. certifikačnou autoritou (CA), ktorá overuje žiadateľa o certifikát/provozovateľa webových stránok a vystavuje mu "potvrdenie". Miesto SSL protokolu sa dnes využíva jeho nástupca, štandardizovaný protokol TLS (Transport Layer Security), avšak pôvodný názov pre SSL certifikáty zostal zaužívaný.
Bezpečná komunikácia a použitie SSL certifikátu sa počas prehliadania internetu spoznala skôr v adresnom riadku prehliadača vďaka uvedeniu textu https:// pred názvom domény, kde písmeno "S" znamená Secure (HTTPS - Hypertext Transfer Protocol Secure) a zobrazením zámku. V dnešnej dobe je používanie SSL certifikátov úplnou samozrejmosťou a prehliadače naopak zobrazujú len varovanie pri prístupe na nezabezpečené stránky.
Čo je to HTTPS?
HTTPS je spôsob šifrovania dát (informácií) odoslaných medzi prehliadačom a webovým serverom. Šifrovanie chráni návštevníkov a používateľov webových stránok pred odpočúvaním a útokmi typu "man-in-the-middle", kedy hacker môže ukradnúť informácie odoslané na webovú stránku, napríklad informácie o kreditnej karte alebo prihlasovacie údaje. Útočník môže tiež podvrhnúť obsah alebo vykonávať iné škodlivé útoky. Zabezpečenie komunikácie HTTPS protokolom je dnes štandardom pre všetky webové stránky.
Ako funguje SSL/TLS komunikácia?
Aby bola nastavená zabezpečená HTTPS komunikácia, dochádza medzi prehliadačom a serverom k tzv. handshake (vyjednávanie), kde sa vymieňajú informácie ako sa bude komunikovať (typ šifry, vymieňajú sa šifrovacie kľúče, atď.). SSL certifikát sa využíva na začiatku komunikácie, kedy na princípe asymetrickej šifry dochádza k výmene kľúčov a overeniu servera. Tu je veľmi dôležitá dôveryhodnosť certifikačnej autority, ktorá vystavuje SSL certifikát a potvrdzuje pravosť jeho majiteľa. Ak je všetko v poriadku, dôjde k nastaveniu HTTPS komunikácie a zabezpečenie dát prebieha už pomocou symetrického šifrovania (šifrovanie a dešifrovanie pomocou jediného kľúča).
Ako prebieha spojenie TLS 1.3 medzi klientom a serverom si môžete krok po kroku pozrieť na výbornej stránke Illustrated TLS Connection - Every byte explained and reproduced.
Asymetrické šifrovanie funguje pomocou páru šifrovacích kľúčov – verejný a súkromný (Wiki - Asymetrická kryptografia). Verejný kľúč je možné zverejniť a ak týmto kľúčom ktokoľvek zašifruje nejakú správu, je zaistené, že ju bude môcť rozšifrovať iba a len majiteľ súkromného kľúča, ku ktorému patrí použitý verejný kľúč. Platí to aj naopak, čo sa využíva na autentizáciu - zašifrovaná správa privátnym kľúčom môže byť rozšifrovaná iba verejným kľúčom patriacim k privátnemu. A ak vieme, že verejný kľúč patrí konkrétnemu subjektu (overený u dôveryhodnej autority), vieme tiež, s kým komunikujeme.
Prečo používať SSL certifikát?
SSL certifikát je potrebný pre vytvorenie a zaistenie bezpečnej HTTPS komunikácie na internete. Dôvodov na použitie SSL certifikátu je mnoho. Ale pozor! SSL certifikát nezabezpečí webové stránky proti hackerom. Ak neaktualizujete aplikáciu ako WordPress alebo programátor zle naprogramuje web, SSL certifikát neochráni stránky pred napadnutím. Opravdu nie.
Nasadením SSL certifikátu a zabezpečenou HTTPS komunikáciou primárne chránime používateľov, návštevníkov stránok pred odpočúvaním komunikácie, pred vložením zákerneho kódu do stránok alebo zmenením obsahu (vkladanie reklám, úprava obsahu). Toto je hlavný dôvod, prečo nasadiť SSL certifikát i na ten najmenší jednostránkový web, kde sa domnievame, že nič na ochranu nie je.
Zásadným dôvodom pre nasadenie SSL certifikátu sú prihlasovacie a rôzne formuláre na webe, kde sa vkladajú citlivé údaje, ktoré musíme pri prenose na internete chrániť pred odpočúvaním, odcudzením a zneužitím.
Webové stránky nemajúce SSL certifikát sú vo webových prehliadačoch negatívne označované "NOT SECURE" - "Nezabezpečené", čo pôsobí veľmi nedôveryhodne.
Nové technológie je možné v prehliadačoch využívať len u zabezpečenej komunikácie. Nové protokoly HTTP/2+3 výrazne zrýchľujú načítanie webových stránok a bez HTTPS nepodporujú všetky funkcie.
SSL certifikáty zabezpečujú súlad s právnymi predpismi a normami týkajúcimi sa ochrany súkromia, dodržiavania štandardov.
Výhody HTTPS komunikácie
- bezpečná komunikácia medzi užívateľským prehliadačom a serverom
- zabezpečenie citlivých informácií
- využitie nových technológií (rýchly protokol HTTP/2, nové vlastnosti CSS)
- autentizácia protistrany (webového servera)
- SEO zvýhodnenie stránok vo vyhľadávaní Google
- odstránenie označenia webu ako "Nezabezpečené"
Nevýhody HTTPS komunikácie
- nutnosť zaobstarania SSL certifikátu
- nutnosť obnovy SSL certifikátu
- technické nastavenie https:// komunikácie
- potenciálna nefunkčnosť webových stránok
Typy SSL certifikátov
Aby mohol byť vydaný dôveryhodný SSL certifikát, certifikačná autorita (CA) najskôr vykoná overenie. Tento proces môže vykonať iba vlastník alebo prevádzkovateľ konkrétnej domény, čo zaručuje, že certifikát získa iba oprávnená osoba. Existujú tri úrovne overenia, ktoré definujú typy SSL certifikátov.
Doménové certifikáty (DV SSL - Domain Validation)
Na získanie certifikátu stačí overiť doménu, čo je najrýchlejší, najjednoduchší a automatizovaný spôsob overenia. Certifikačná autorita overuje iba oprávnenosť prístupu k doméne uvedenej v žiadosti o certifikát. Overenie prebieha zaslaním e-mailu na pevne dané schránky domény: admin@, administrator@, webmaster@, hostmaster@ alebo postmaster@. Prípadne je možné overiť vygenerovaným súborom umiestneným do FTP priestoru domény alebo nastavením špecifického DNS záznamu.
Ako prebieha doménová validácia krok za krokom si môžete pozrieť na stránke Overenie doménového certifikátu.
Firemné certifikáty (OV SSL - Organization Validation)
Oproti doménovej validácii ide o manuálny proces, pri ktorom certifikačná autorita musí overiť reálnu existenciu žiadateľa. Pri validácii opäť prebieha overenie domény a tiež overenie existencie firmy. Dáta sa zisťujú vo verejných autoritatívnych databázach a každá CA má svoje postupy overenia.
Výhodou firemných certifikátov je možnosť autentizácie a potvrdenia pravosti komunikácie, teda že stránky, ktoré navštevujem, patria spoločnosti, ktorú očakávam.
EV certifikáty (EV SSL - Extended Validation)
EV SSL certifikáty sú najdôveryhodnejšie SSL certifikáty. Predtým bol názov firmy zobrazovaný priamo v zelenom adresnom riadku prehliadača, hneď vedľa domény. To sa od roku 2019 zmenilo a lepšou voľbou sú teraz firemné certifikáty, ktoré za nižšiu cenu ponúkajú rovnaké vlastnosti.
Druhy SSL certifikátov
Postupným vývojom vzniklo niekoľko druhov SSL certifikátov líšiacich sa prevažne počtom zabezpečených domén. Samotné druhy potom ponúkajú tiež rôzne spôsoby overenia.
SSL certifikát pre jednu doménu
Najčastejšie sa objednávajú SSL certifikáty pre jednu doménu, teda pre konkrétnu internetovú doménu. Tieto certifikáty zabezpečia firemné, osobné stránky alebo akýkoľvek projekt. SSL certifikáty pre jednu doménu vydávajú certifikačné autority pre súčasné použitie na adresách s www aj bez www. Pre zabezpečenie jednej domény sú vhodné aj najlacnejšie SSL certifikáty z našej ponuky.
WildCard SSL certifikát
WildCard certifikáty, alebo hviezdičkové certifikáty, ponúkajú unikátnu vlastnosť, ktorou je možnosť zabezpečenia neobmedzeného počtu subdomén pod hlavnou doménou. Správcom servera ponúkajú výraznú úsporu práce a tým aj nákladov pri inštalácii a správe. V žiadosti o WildCard certifikát sa uvedie pred doménou hviezdička *.domenaxyz.sk, ktorá umožňuje zabezpečiť akúkoľvek subdoménu na danej úrovni.
Multi-doménový SSL certifikát
Multidoménové SSL certifikáty umožňujú zabezpečiť viac rôznych domén jedným SSL certifikátom. Tieto certifikáty môžu zabezpečiť desiatky domén súčasne, pričom každá doména môže byť od inej TLD (.SK, .COM, .EU, .DE, atď.), čím sa odlišujú od WildCard SSL certifikátov pre zabezpečenie neobmedzene subdomén.
Spojenie zabezpečenia domén do multi-doménového certifikátu ponúka úsporu správy mnohých certifikátov a často aj výhodnejšiu cenu na zabezpečenie jednej domény. Sú ideálne pre firmy vyžadujúce súčasné zabezpečenie viacerých domén od rôznych TLD. Multidoménové SSL certifikáty sú tiež vhodné pre SSL zabezpečenie Microsoft Exchange.
Certifikačné autority
Certifikačná autorita overuje žiadosť o certifikát a vystavuje potvrdenie. Na svete je mnoho certifikačných autorít, ale aby bola certifikačná autorita dôveryhodná, musí spĺňať stanovené pravidlá. Tie si určujú výrobcovia operačných systémov (Microsoft, Apple) alebo priamo výrobcovia prehliadačov, ako napríklad Mozilla pre jej prehliadač Firefox, ktorá má vlastný Mozilla CA Certificate Program a udržiava svoj zoznam dôveryhodných autorít.
Certifikačné autority sú združené v CA/Browser fóre. Členovia sú nielen CA, ale aj výrobcovia prehliadačov, operačných systémov a ďalšie firmy z IT (zoznam členov). Toto fórum je veľmi dôležité pre rozvoj a kontrolu certifikačných služieb, má vlastné pravidlá a požiadavky na vydávanie certifikátov, ktorými sa musia certifikačné autority riadiť.
SSL certifikáty u SSLmentor
Na našich stránkach nájdete kvalitné a dôveryhodné SSL certifikáty od vybraných certifikačných autorít.
Kam ďalej?
Späť na Nápovedu
Našli ste chybu alebo niečomu nerozumiete? Napíšte nám!
