ssl-https-web

Čo je SSL certifikát a prečo by ho mal mať aj váš web?

SSL certifikáty môžeme pokladať za základ bezpečného internetového pripojenia. Viete však, na čo slúžia a prečo sú pre vašu webstránku dôležité?

Čo je SSL certifikát?

SSL je skratka pre anglický Secure Sockets Layer protokol, ktorý sa nachádza medzi transportnou a aplikačnou vrstvou. Tento protokol (certifikát) zabezpečuje šifrovaný prenos dát medzi vašim počítačom a webstránkou alebo serverom, na ktoré sa pripájate cez internet.

Pripojenie zabezpečené SSL certifikátom chráni šifrovaním všetky prenášané dáta - napríklad platobné údaje, či vašu online komunikáciu. Okrem bezpečnosti však SSL prináša aj ďalšie výhody - jednou z nich je napríklad aj lepšie SEO skóre z pohľadu vyhľadávacích nástrojov.

ssl-certifikat

Pridanou hodnotou je však aj ochrana proti základným typom kybernetických útokov (najmä typu man-in-the-middle), či budovanie dôveryhodnosti. Webstránky s platným SSL certifikátom sú vo väčšine prehliadačov označené zelenou URL adresou a ikonou zámku. Tie hovoria o ich bezpečnosti a vzbudzujú v návštevníkoch dôveru v to, že ich pripojenie k tomuto webu bude bezpečné.

Platný a správne nastavený SSL certifikát by tak mal byť elementárnou súčasťou každej webstránky, ktorá dbá na bezpečnosť seba a svojich návštevníkov.

Ako prebieha nadviazanie SSL spojenia?

SSL spojenie sa nadviaže medzi serverom (webstránkou) a vašim prehliadačom pomocou “SSL handshake” procesu. Pri tvorbe šifrovaného spojenia sa používajú 3 digitálne (šifrovacie) kľúče, a to nasledovným spôsobom:

  1. Server odošle prehliadaču kópiu svojho asymetrického verejného kľúču.
  2. Prehliadač vytvorí jednorazový symetrický kľúč relácie (symmetric session key) a zašifruje ním asymetrický verejný kľúč servera, ktorý odošle následne späť serveru.
  3. Server dešifruje prijatý kľúč použitím svojho privátneho asymetrického kľúča a získa tak symetrický kľúč relácie.
  4. Server a prehliadač nadviažu spojenie a všetky odoslané a prijaté dáta šifrujú/dešifrujú pomocou vytvoreného symetrického kľúča relácie. Ten sa používa len na jednu reláciu a po jej ukončení sa ďalej nepoužíva.

Pri šifrovanej komunikácii sa tak používa jednorazový symetrický kľúč šifrovania, ktorý pozná len váš prehliadač a server, s ktorým komunikuje. To zabezpečuje ochranu prenášaných dát pred treťou osobou.

Čo obsahuje platný SSL certifikát?

Platný SSL certifikát musí obsahovať niekoľko informácií. Základom je informácia o vydavateľovi SSL certifikátu, ktorého označujeme vo všeobecnej terminológii za certifikačnú autoritu (CA). Malo by ísť o organizáciu, ktorej návštevník (a v prípade overenej CA aj IT svet) dôveruje. Okrem informácie o CA by mal certifikát obsahovať aj svoje sériové číslo, dátum expirácie (zvyčajne certifikáty platia 1-3 roky), kópiu verejného kľúča majiteľa certifikátu a digitálny podpis certifikačnej autority.

ssl-certifikat-google

O úrovni bezpečnosti certifikátu hovoria viaceré parametre. Je to štandard, ktorým bol vytvorený (napr. X.509), úroveň šifrovania komunikácie, ktorú používa (napr. 256-bitová šifra), kryptografický spôsob tvorby kľúčov (napr. RSA SHA-2 s 256-bitovým hashom) a spôsob šifrovania kľúčov (napr. 2048-bitová šifra).

 

Certifikáty podpísané majiteľom webu

Okrem SSL certifikátov vydaných (podpísaných) verejne dôveryhodnou certifikačnou autoritou existuje aj možnosť vytvorenia certifikátu podpísaného samotným majiteľom webstránky. Ich použitie vám ale odporúčame len na súkromné účely a nie na účely zabezpečenia spojenia vášho webu a verejnosti.

Certifikát vydaný súkromnou autoritou môže byť totižto ľahko zneužiteľný, ak správca serveru dostatočne neochráni jeho skrytú časť  - privátny kľúč. K nemu by mal mať prístup len správca serveru. Ak by súkromný kľúč získal niekto iný ako vydavateľ certifikátu, mohol by ho využiť na presmerovanie dátovej komunikácie cez svoje servery. Na nich by mohlo prebiehať nepozorované dešifrovanie dát a ich zneužívanie (man-in-the-middle útok).

Ak by bol takýto útok aj odhalený, nie je možné zneplatniť súkromný certifikát v čase skoršom, ako je jeho vopred daná expirácia. Pri použití takto napadnutého certifikátu pre potreby komunikácie s verejnosťou by tak firma zodpovedala za možný únik veľkého množstva citlivých dát svojich klientov.

Aký SSL certifikát si mám vybrať pre svoj web?

Dnes sú dostupné rôzne typy SSL certifikátov, ktoré ponúkajú rozdielnu úroveň zabezpečenia. V základnom rozdelení môžeme rozlišovať overenie domény (DV - domain validation), overenie organizácie (OV - organization validation), alebo certifikát s rozšíreným overením (EV - extended validation).

typy-ssl-certifikatov typy-ssl-certifikatov Obrázok: CloudSSL

Typy certifikátov podľa počtu zabezpečených domén

Z hľadiska počtu domén a subdomén, ktoré potrebujete zabezpečiť, rozlišujeme rovnako 3 druhy SSL certifikátov:

  1. Single-name SSL certifikátZabezpečuje šifrované spojenie pre jednu doménu/subdoménu. Takýto certifikát chráni napríklad web www.mojadomena.sk, ale nechráni doménu mail.mojadomena.sk.
  2. Wildcard SSL certifikátZabezpečuje šifrované spojenie pre 1 doménu a ľubovoľný počet jej subdomén. Takýto certifikát chráni napríklad web www.mojandomena.sk, ale aj mail.mojandomena.sk, blog.mojadomena.sk, či iná domena.domena.sk. Všeobecne teda SSL certifikát chráni všetky weby *.mojadomena.sk.
  3. Multi-domain (SAN - Subject Alternative Name) SSL certifikátTakýto typ certifikátu umožňuje organizácii chrániť až 100 rôznych domén v jej vlastníctve. Teda napríklad www.mojadomena.sk, www.mojadomena.org, mail.mojadomena.com, blog.mojadomena.co.uk, či hocijakú inú doménu spadajúcu pod jedného majiteľa certifikátu. Tento typ SSL certifikátu používajú medzinárodné spoločnosti, ktoré využívajú rovnaký názov druhej úrovne domény vo viacerých doménach prvej úrovne (ako napríklad Google a jeho domény *.google.sk, *.google.com, …).

 

Pri výbere SSL certifikátu je tak nutné brať ohľad nielen na úroveň zabezpečenia, ale aj na počet domén, ktoré potrebujete zabezpečiť. A nepodceňte ani výber certifikačnej autority. Zamerajte sa najmä na to, akú úroveň zabezpečenia ponúka vo svojich certifikátoch, akú životnosť majú ich certifikáty, či ponúkajú kompatibilitu s mobilnými zariadeniami a ako veľmi môžete danej organizácii dôverovať.

Bezplatnou možnosťou pre zabezpečenie vášho webu sú SSL certfikáty od LetsEncrypt, ktoré ponúkajú automatické obnovovanie a platnosť 3 mesiace. Ponúkajú tiež možnosť aplikácie certifikátu až na 100 SAN-ov v úrovni DV. LetsEncrypt plánuje čoskoro predstaviť aj wildcard SSL certifkáty, ktoré opäť zjednodušia bezplatné zabezpečenie vašich webstránok.

Ak si nie ste v otázke SSL certifikátov istí svojím rozhodnutím, neváhajte nás kontaktovať. S výberom, správnym nastavením a aplikáciou certifikátu na akýkoľvek počet domén vám radi pomôžeme.

Podobné blogy