Zvyčajne sa pohybujeme v oblastiach, ktoré považujeme za bezpečné, nakupujeme potraviny a lieky na miestach, o ktorých vieme, že sú renomované, a uskutočňujeme finančné transakcie prostredníctvom dôveryhodných inštitúcií. Ako internet rastie a vyvíja sa, tak sa menia aj naše životy okolo neho. Čoraz viac času trávime online a rovnako ako v skutočnom svete chceme, aby bola naša estancia čo najbezpečnejšia. Skvelým pomocníkom na dosiahnutie tohto cieľa sú certifikáty Secure Socket Layer (SSL). Budeme sa ponoriť do toho, čo je certifikát SSL, prečo je dôležitý a ako ho môžeme získať.
Čo je certifikát SSL?
SSL certifikáty sú súčasťou našej každodennej online skúsenosti. Keď pristupujeme na stránku zabezpečenú protokolom SSL, jedna z prvých vecí, ktorú si môžeme všimnúť, je, že adresa URL stránky v paneli s adresou začína reťazcom „HTTPS“ namiesto „HTTP“. To naznačuje, že náš webový prehliadač dokázal overiť pravosť certifikátu.
Secure Socket Layer (SSL) je štandardný bezpečnostný protokol, ktorý umožňuje serverom (webovým stránkam) a klientom vytvárať šifrované spojenie. Na druhej strane, certifikát SSL je digitálny certifikát, ktorý používa protokol SSL/TLS na overenie zdroja (servera) a vytvorenie bezpečnej komunikačnej relácie.
Poznámka: Po SSLv3.0 bol protokol premenovaný na TLSv1.0 s odkazom na „Transport Layer Security“. Momentálne používame TLSv1.3; keďže sa však SSL stále bežne používa, väčšina certifikačných autorít tento protokol naďalej označuje ako SSL/TLS. Budeme používať SSL na odkazovanie na protokol vpred.
SSL umožňuje bezpečné odosielanie citlivých informácií. Šifrovanie je životne dôležité, pretože výmena údajov medzi prehliadačmi a servermi sa zvyčajne uskutočňuje v obyčajnom texte, čo je obzvlášť problematické, pretože ponecháva dvere otvorené pre škodlivých aktérov, ktorí môžu zachytiť komunikáciu a ukradnúť vaše informácie. Pri šifrovanej komunikačnej relácii, aj keď niekto zachytí vaše pripojenie, bude pre útočníka takmer nemožné dešifrovať údaje, čím sa tieto útoky stanú neúčinnými.
Certifikát SSL pomáha zabezpečiť kritické informácie alebo výmenu údajov, ako napríklad:
- Prihlasovacie údaje
- Finančné transakcie
- Osobné údaje (meno, adresa, IČO, číslo mobilného telefónu atď.)
- Zdravotné záznamy
- Vlastnícke informácie
- Legálne dokumenty
Na obrázku nižšie si môžeme predstaviť, ako vyzerá dôveryhodný certifikát:
Ako sa vytvorí zabezpečené pripojenie?
Presná mechanika toho, ako tento protokol funguje, je relatívne jednoduchá a celý proces je vyvinutý bez toho, aby si to používateľ vôbec uvedomoval. Môžeme to rozdeliť do štyroch krokov:
- Keď sa pokúšame o prístup na stránku zabezpečenú SSL, klient (náš prehliadač) aj server vytvoria spojenie s názvom „SSL Handshake“. Toto je prvý pokus o vytvorenie bezpečnej relácie.
- Server odošle certifikát spolu s verejným kľúčom.
- Prehliadač overuje 3 veci:
- Ak bol certifikát vydaný dôveryhodným subjektom (Certifikačná autorita).
- Ak certifikát nie je expirovaný.
- Ak bol certifikát vydaný webovej stránke, ku ktorej sa pokúšame dostať (názov domény sa zhoduje).
- Ak je všetko vyššie uvedené správne overené (ak nie, dostaneme chybové hlásenie o tom, že stránka nie je zabezpečená), prehliadač odošle kľúč relácie na efektívne vytvorenie zabezpečeného komunikačného kanála. Súkromný kľúč servera môže dešifrovať iba tento kľúč relácie. Ak server dokáže dešifrovať kľúč a poslať späť potvrdenie, spustí sa zabezpečená relácia a kľúč relácie sa použije na zašifrovanie celej výmeny údajov.
Tu môžeme vidieť vizuálnu reprezentáciu procesu:
Ak sa počas tohto procesu niečo pokazí, zobrazí sa obrazovka podobná tejto:
Typy SSL certifikátov
Pred objednaním SSL certifikátu si musíme položiť otázku: aká úroveň ochrany je potrebná pre náš web? To je rozhodujúce pri určovaní, aký typ SSL je pre nás najvhodnejší. Pozrieme sa na existujúce kategórie a ich využitie.
1. Doména overená SSL (DV)
Toto je najjednoduchšie zo všetkých a získate ho iba overením vlastníctva domény. Nevyžaduje informácie o spoločnosti. Niekoľko plánov webhostingu ponúka tento typ SSL zadarmo, ale v závislosti od certifikačnej autority (CA) to môže dosiahnuť až 50,00 USD alebo 100,00 USD. Spôsob overenia môže byť odoslaním e-mailu na priradenú adresu lokality, vykonaním overenia DNS alebo overenia kontroly domény (ktoré zahŕňa nahranie textového súboru na overenie cez port 80). Posledné dve metódy sú spoločné pre ovládacie panely, ako je cPanel.
Tieto typy certifikátov sú vhodné pre stránky, ktoré nepotrebujú najvyššiu úroveň zabezpečenia a zvyčajne postačia pre väčšinu stránok elektronického obchodu.
2. Organizačne overené (OV)
OV SSL pridávajú ďalšiu úroveň overenia, pretože v certifikáte musia byť zahrnuté organizačné podrobnosti. CA musí overiť tieto informácie (zvyčajne názov organizácie, fyzickú adresu a vlastníctvo domény) a môže to trvať niekoľko dní. Ako také ponúkajú značnú úroveň dôvery. Jednou z nevýhod týchto certifikátov sú náklady. Ak má organizácia niekoľko názvov domén, tieto sa pridajú ako „doplnky“ k primárnemu certifikátu, aby ich pokryli a všetky súvisiace adresy IP. To môže znamenať značné zvýšenie konečnej ceny certifikátu.
3. Rozšírené overenie (EV)
EV certifikáty ponúkajú najvyššiu úroveň bezpečnosti spomedzi SSL certifikátov. Pri návšteve stránok s týmto certifikátom sa používateľom zvyčajne zobrazí visiaci zámok a názov spoločnosti zvýraznené zelenou farbou. Tie sa získavajú najťažšie, pretože vyžadujú overenie nasledujúcich informácií:
- Právna existencia a identita spoločnosti.
- Predpokladané meno.
- Overenie prevádzkovej existencie.
- Overenie fyzickej existencie.
- Overenie vlastníctva domény.
- Overenie mena, titulu, oprávnenia a podpisu osoby žiadajúcej o certifikát.
Samozrejme, hlavnou výhodou je, že budete mať široko uznávaný a dôveryhodný certifikát, ktorý zase dáva vašim klientom najvyššiu mieru dôvery.
SSL s viacerými doménami/zástupnými kartami
Multi-Domain SSL certifikáty nájdeme v každej z vyššie uvedených kategórií; s jedným podstatným rozdielom dokážeme zabaliť niekoľko domén do jedného certifikátu. Napríklad, ak máme „mysite.com“, „mysite.do“ a „mysite.net“, bolo by únavné a potenciálne nákladné vydať certifikát pre každú z nich, keď ich môžeme zahrnúť do rovnakého certifikátu.
To isté platí pre SSL certifikáty so zástupnými znakmi. Namiesto uvádzania konkrétnych domén máme možnosť zahrnúť doménu a všetky subdomény. Zoberme si „mysite.com“ ako príklad. Ak nastavím zástupný certifikát pre “*.mysite.com”, každá subdoména (aj tie, ktoré ešte neexistujú) mysite.com bude zahrnutá do certifikátu, a teda bude mať pokrytie SSL.
Ako získam certifikát SSL?
Postup na získanie certifikátu SSL sa môže líšiť v závislosti od vašej hostiteľskej spoločnosti, plánu hostingu alebo certifikačnej autority, ktorú sme si vybrali. Vo všeobecnosti však musíme urobiť dva kroky:
1- Vygenerujte žiadosť o podpis certifikátu (CSR).
2- Zakúpte si certifikát, čo vykoná CA podpísaním CSR.
Uveďme si typický príklad. Chceme si objednať SSL z www.nexcess.net pre doménu hosťovanú na serveri Linux. Potrebujeme vygenerovať CSR a súkromný kľúč (a verejný kľúč, aj keď je to voliteľné). Súkromný kľúč musí byť uchovaný v bezpečí, pretože ktokoľvek s týmto súborom by mohol nainštalovať certifikát SSL na iný server a potenciálne spôsobiť škodu.
Všimnite si, že CSR môžete nastaviť z ovládacieho panela Siteworx. V opačnom prípade, aby sme vygenerovali CSR spolu so súkromným kľúčom z terminálu, môžeme spustiť nasledujúci príkaz:
openssl req -new -newkey rsa:2048 -nodes -keyout /location/mysite.key -out /location/mysite.csr
Poznámka: Nahraďte /location/mysite.csr a /location/mysite.csr skutočným umiestnením súboru. Názov „moja lokalita“ môžete zmeniť pre názov svojej domény. Ak neuvediete umiestnenie, súbory sa vytvoria v aktuálnom pracovnom adresári.
Po vyplnení formulára môžeme ísť. Toto je ukážka informácií požadovaných na vytvorenie CSR:
Hostinger# openssl req -new -newkey rsa:2048 -nodes -keyout /etc/ssl/nexcess.key -out /etc/ssl/nexcess.csr
Generovanie 2048-bitového súkromného kľúča RSA
….+++
………..+++
zápis nového súkromného kľúča do ‘/etc/ssl/nexcess.key’
—–
Čaká vás výzva na zadanie informácií, ktoré budú zahrnuté
do vašej žiadosti o certifikát.
To, čo sa chystáte zadať, sa nazýva rozlišovacie meno alebo DN.
Existuje pomerne málo polí, ale niektoré môžete nechať prázdne
Pre niektoré polia bude predvolená hodnota,
Ak zadáte „.“, pole zostane prázdne.
—–
Názov krajiny (2 písmenový kód) [XX]:US
Názov štátu alebo provincie (celé meno) []:Michigan
Názov lokality (napr. mesto) [Default City]: Južné pole
Názov organizácie (napr. spoločnosť) [Default Company Ltd]:Neskôr
Názov organizačnej jednotky (napr. sekcia) []:Linux
Common Name (napr. vaše meno alebo názov hostiteľa vášho servera) []:nexcess.net
Emailová adresa []:[email protected]
Zadajte nasledujúce atribúty „extra“.
odošlete spolu so žiadosťou o certifikát
Heslo výzvy []:
Voliteľný názov spoločnosti []:
Po vygenerovaní súborov uvidíme, že CSR má nasledujúci formát:
Zatiaľ čo súkromný kľúč:
Po potvrdení, že súbory sú v poriadku, si teraz môžeme objednať nový certifikát SSL z nášho portálu:
Potom musíme vložiť CSR do textového poľa:
Nakoniec musíme počkať na overenie, ktoré by pre DV certifikát nemalo trvať dlhšie ako niekoľko minút. Proces inštalácie certifikátu SSL presahuje rámec tohto článku, ale žiadny strach, máme to pre vás. Upozorňujeme, že overenie certifikátov OV a EV môže trvať niekoľko dní.
Záver
SSL certifikáty zohrávajú významnú úlohu pri udržiavaní dôvery a súkromia našich klientov, ako aj reputácie našej stránky. Väčšina webových prehliadačov a vyhľadávacích nástrojov trestá stránky, ktoré nemajú nastavený certifikát SSL, pričom na základe tvrdenia, že tieto certifikáty pomáhajú internetu stať sa bezpečnejším prostredím. Vždy by sme sa mali snažiť uprednostniť integritu a bezpečnosť nášho klienta a toto je jeden zo spôsobov, ako to dosiahnuť.
Môžeme vám pomôcť! Ak potrebujete ďalšie alebo konkrétnejšie informácie o tejto téme, kontaktujte náš tím podpory e-mailom alebo prostredníctvom Vášho Klientskeho portálu pre 24-hodinovú asistenciu ktorýkoľvek deň v roku.