SSLmentor

SSL/TLS certifikáty pro kvalitní HTTPS zabezpečení webových stránek a internetových projektů.

FAQ - nejčastější dotazy

Nejčastější dotazy k problematice SSL certifikátů a základní technické odpovědi. Jednotlivé body nápovědy se otevřou po kliknutí na nadpis.

Základní SSL certifikáty pro zajištění HTTPS komunikace

Pro zajištění bezpečné komunikace na internetu je vhodný jakýkoliv DV SSL certifikát z naší nabídky. Tyto certifikáty jsou rychle vystaveny a zajišťují základní https komunikaci, podporují SEO a vyřeší v prohlížeči negativní hlášení "Not secure" a "Spojení s tímto webem není bezpečné".

Firemní certifikáty

Firemní certifikáty, nazývané také jako OV (Organization Validation) nabízejí uvedení názvu firmy v certifikátu. Návštěvník stránek si díky uvedení firmy může ověřit, že je na správných www stránkách. Před vystavení provádí certifikační autorita validaci společnosti, tj. kontroluje existenci, provádí telefonickou validaci žadatele.

EV "zelené" certifikáty

EV certifikáty nabízí nejvyšší důvěryhodnost komunikace na internetu díky zobrazení názvu firmy v adresním řádku prohlížeče. V některých prohlížečích včetně výrazného zeleného pozadí. Pokud uvažujete o koupi firemního certifikátu, měli byste zvážit pořízení EV certifikátu s vysokou přidanou hodnotou.

CODE certifikáty

Certifikáty pro podepisování kódu jsou určeny SW vývojářům a firmám pro distribuci jejich programů po síti internet. Díky podepsání aplikace má uživatel jistotu, že stažená aplikace není podvrh a nedošlo ke změně kódu. Je potvrzena integrita obsahu. Code Signing Certifikáty obsahují identifikaci společnosti díky firemnímu ověření (OV) a zákazník si může ověřit, že software skutečně pochází od vydavatele, který jej podepsal.

Komerční SSL certifikát nebo Let's Encrypt?

Let's Encrypt je automatizovaná open source certifikační autorita, která nabízí zdarma SSL certifikáty na 3 měsíce. Pokud potřebujete zabezpečit jednoduše webové stránky a váš webhostingový poskytovatel podporuje Let's Encrypt, je to ideální volba pro rychlé a jednoduché zabezpečení. Pokud poskytovatel službu Let's Encrypt nepodporuje a potřebujete zabezpečenou HTTPS komunikaci, volte z nabídky nejlevnějších SSL certifikátů. Cena za SSL certifikát validovaný zasláním e-mailu (DV certifikáty) na rok či dva je v řádech stokorun.

Nevíte jaký SSL certifikát vybrat?

Nabídka SSL certifikátů je široká a rozhodnutí jaký certifikát zvolit může být složité. V tom případě se nezatěžujte rozhodováním a kontaktujte nás s vašimi požadavky. Rádi Vám poradíme a nabídneme vhodný certifikát pro potřeby vašeho projektu!

 

EV certifikáty

EV certifikáty nabízí nejvyšší důvěryhodnost komunikace na internetu díky zobrazení názvu firmy v adresním řádku prohlížeče. V některých prohlížečích včetně výrazného zeleného pozadí. Pokud uvažujete o koupi firemního certifikátu, měli byste zvážit pořízení EV certifikátu s vysokou přidanou hodnotou.

Jak získat ZELENÝ adresní řádek v prohlížeči

Zelený adresní řádek v prohlížeči zajišťují EV (Extended Validation) SSL certifikáty, které mají důslednou validaci žadatele. EV SSL certifikáty jsou v současnosti nejdůvěryhodnějšími certifikáty a můžeme je doporučit pro zabezpečení jakýchkoliv webových stránek. Pro firmy a e-shopy by měly být samozřejmostí. V naší nabídce nabízíme kvalitní EV SSL certifikáty od prestižních certifikačních autorit.

Průběh ověření EV certifikátu

Certifikační autorita ověřuje, že majitelem domény je podle registru a informací z WHOIS společnost, která žádá o certifikát. CA Comodo validaci provádí zasláním e-mailu na některou z definovaných e-mailových adres. Následuje ověření společnosti ve veřejné databázi (pro české firmy v Obchodním rejstříku). Ověření telefonu provádí CA z veřejných databází, prakticky z D&B databáze a proto zde musí být číslo aktuální. Dále následuje ověření Autorizačního kontaktu a jeho pracovní pozice ve společnosti a finální telefonické ověření. Vše na již ověřeném telefonním kontaktu.

 

CODE certifikáty

Code Signing Certifikáty jsou určeny pro sofwarové společnosti a vývojáře k podepisování programů a kódu. Jedná se o OV certifikáty (firemní ověření) a dochází ke stejnému procesu ověření jako u webových OV certifikátů.

Generování žádosti

Oproti běžným SSL certifikátům se veřejný klíč negeneruje na straně vývojáře, ale vše probíhá v prohlížeči Firefox, případně Internet Explorer verze 10.0 a nižší, kdy je po uhrazení zaslán link na kterém proběhne vygenerování klíčů. Privátní zůstává na PC žadatele. Po ocertifikování se klíče spárují a následně podle potřeb vyexportují do potřebného formátu k podepisování aplikací (např .pfx).

Windows SmartScreen

SmartScreen Reputation je nástroj společnosti Microsoft, který poskytuje anonymní údaje od komunity, aby uživatelům zajistil bezpečnost při stahování souborů z internetu. Je to jakýsi hlídač dobré pověsti v ekosystému Windows. Podrobněji o Windows Smartsreen Filteru.

EV CODE certifikáty

Vyřešení kontroly Windows SmartScreen filtru zajistí EV Code certifikát. Ten je dodáván pouze na USB tokenu a doručen až po kompletním ověření společnosti. Po vystavení je zaslán e-mailem PIN k tokenu a informace o zásilce. Je možné, že může být při dodání požadováno proclení. Doba vystavení a doručení Code certifikátu od objednání je minimálně 10 dnů a více.

 

Objednávka SSL certifikátu

Proces objednávky probíhá následujícím způsobem:

  • Výběr SSL certifikátu
  • Volba počtu roků, vyplnění požadovaných údajů, potvrzení objednávky.
  • Uhrazení objednávky on-line nebo na základě výzvy.
    Informace k úhradě jsou zaslány s potvrzením objednávky. Na požádání je možné vystavit fakturu k úhradě.
  • Dodání žádosti o certifikát (CSR, veřejný klíč), pokud nebyl vložen v době objednávky.
  • Po zaevidování platby dojde k objednání certifikátu u Certifikační autority (CA).
  • Validace žádosti o certifikát.
  • Při úspěšné validaci vystavení certifikátu a jeho zaslání na Admin kontakt e-mailem.
  • Instalace SSL certifikátu.
Musím mít v době objednávky CSR?

CSR, nebo-li žádost o certifikát můžete vložit do objednávky později nebo si jej sami jednoduše vygenerujete v detailu objednávky certifikátu v administraci.

Za jak dlouho bude certifikát vystaven

Orientační doba vystavení certifikátu je uvedena v ceníku a odpovídá ideálnímu průběhu validace. V případě firemních certifikátů (OV/EV) je potřeba počítat s tím, že CA nemusí mít k dispozici dostatek podkladů a vyžádá si jejich doplnění, což prodlužuje dobu vystavení.
Vystavení DV (Doménová Validace) certifikátů je naopak velmi rychlé. Po objednání certifikátu u CA je zaslán e-mail na vybranou adresu a jakmile se potvrdí, je certifikát vystaven.

Kde získám vystavený certifikát

Certifikační autorita po vystavení certifikátu informuje administrativní kontakt a na technický kontak zasílá vystavený certifikát, včetně dalších certifikátů potřebných pro správné fungování na serveru.

Jak obnovit SSL certifikát?

Obnova SSL certifikátu je jako zakoupení nového. Cca měsíc před expirací je zasíláno upozornění na obnovu certifikátu s odkazem na objednávku.

Jak převést SSL certifikát k SSLmentor?

V případě expirace SSL certifikátu u stávajícího poskytovatele lze jednoduše provést objednávku nového certifikátu. Pokud se objedná stejný typ certifikátu od stejné Certifikační autority, bude platnost nového SSL prodloužena na stejné období jako u původního poskytovatele.

 

Co je to CSR?

CSR (Certificate Signing Request) je žádost o certifikát s veřejným klíčem. CSR obsahuje informace, které jsou zahrnuty v certifikátu, jako je název organizace, název domény, název země. Současně s veřejným klíčem se generuje i privátní klíč, který musí být bezpečně uložen. Generování klíčů je možné zajistit například pomocí OpenSSL knihovny, převážně tuto činnost vykonávají administrátoři serveru, kde je doména provozována. K dispozici jsou i veřejné online generátory, které však nedoporučujeme používat.

Jak generovat žádost o certifikát - CSR

Žádost o certifikát obsahuje veřejný klíč a informace o žadateli (firmě). Ty musí odpovídat údajům o žadateli v objednávce.

Při generování veřejného klíče se zadávají následující informace (za šipkou je uveden příklad vyplnění):

  • Common name [CN]: název domény -> www.sslmentor.cz
  • Organization [O]: přesné jméno firmy, majitele domény -> Web security s.r.o.
  • Organizational unit [OU]: oddělení společnosti -> internet / e-shop / it / ...
  • City/locality [L]: město -> Brno
  • State/province [S]: stát, provincie -> Czech republic
  • Country/region [C]: kód země podle normy ISO -> CZ
  • Key Size: 2048 bit

Výsledná žádost je v textovém formátu. Začíná -----BEGIN CERTIFICATE REQUEST----- a končí -----END CERTIFICATE REQUEST-----.

Generování CSR v detailu objednávky

Vygenerování žádosti o certifikát, včetně privátního klíče, lze jednoduše provést v Administraci -> Detail objednávky -> CSR.
Žádost je generována na základě informací v objednávce. Současně se generuje i privátní klíč. Privátní klíč neuchováváme, je potřeba si jej neprodleně a bezpečně uložit.

Generování CSR na serveru Apache s OpenSSL

Klíče se generují pomocí příkazu.

openssl req –new –newkey rsa:2048 –nodes –keyout server.key –out server.csr

 

Co dělat, když potvrzovací e-mail není k dispozici

Na základě pravidel C&B fóra lze zasílat potvrzovací e-maily pouze na nabízené adresy domény admin@, administrator@, webmaster@, hostmaster@ nebo postmaster@, případně na e-mail z WHOIS domény. Volbu potvrzovacího e-mailu lze v administraci upravit. Jakmile je zajistěn fungující příjem e-mailu, zašleme nový ověřovací e-mail.

Telefonická validace žadatele

Certifikační autorita provádí verbální validaci firemních certifikátů telefonním hovorem. Toto ověření probíhá standardně v anglickém jazyce a pracovník CA se dotazuje na běžné věci jako název společnosti, název domény, ověřuje si, zda bylo žádáno o certifikát. Tento telefon je krátký a zvládne jej i osoba s minimální znalostí anglického jazyka.

Co je to D-U-N-S

D-U-N-S (Data Universal Numbering System) je unikátní identifikační devítimístný číselný znak zavedený společností Dun & Bradstreet. Číslo má každý podnikatelský subjekt v České republice a v databázi jsou uvedeny základní údaje běžné z obchodního rejstříku. Velmi důležité je uvedení správného telefonního čísla, které certifikační autority považují za autoritativní pro provedení validace. Aktualizace se provádí na stránkách bisnode.cz (formulář „Žádost o D&B D-U-N-S číslo“ se používá i pro aktualizaci).

 

Co je potřeba pro správnou instalaci

Pro správnou instalaci certifikátu na server musíme mít k dispozici u sebe nebo na serveru uložený privátní klíč. Dále certifikát od certifikační autority (veřejný klíč) a současně intermediate (mezilehlé) certifikáty. Certifikační autoriza veškeré potřebné certifikáty zasílá dohromady při vystavení certifikátu, případně je možné intermediate certifikáýty stánout na stránkách autorit.

Jak ověřit správnost instalace

Ideálním způsobem jak ověřit správnou funkci nainstalovaného SSL certifikátu je jeho ověření pomocí některého z nástrojů, které jsou k dispozici v nabídce MENU -> Podpora -> SSL nástroje. Kontrola správné funkce SSL certifikátu by měla být provedena vždy, nejlépe neprodleně po instalaci. Kromě kontroly instalace a řetězce důvěry, kdy se zjišťuje zda nechybí ev. mezilehlý (intermediate) certifikát, je výsledkem testu i nastavení serveru a jeho náchylnost na různé útoky a chyby.

Certifikát je nedůvěryhodný

Po instalaci certifikátu se může stát, že prohlížeč zobrazí informace o nedůvěryhodnosti certifikátu či neznámém vystavovateli. Velmi pravděpodobně je "porušena" linie důvěryhodnosti, která se zajišťuje instalací Intermediate certifikátu od certifikační autority. Tím se zajistí tzv. řetěz důvěry a problém je odstraněn. Zda chybí některý z mezilehlých certifikátů zjistíte pomocí ověření instalace.

Lze použít certifikát na jiném serveru či více serverech?

Většina námi nabízených Certifikačních autorit nabízí použití certifikátů na neomezeném počtu serverů. Pokud je počet omezen, hledejte informace v detailu objednaného certifikátu. Je možné také certifikát migrovat z jednoho serveru na druhý, což lze zajistit exportem privátního a veřejného klíče z původního serveru.

 

Co je to REISSUE certifikátu

Někdy se může stát, že z nějakého důvodu se nezdaří instalace certifikátu, zhavaruje server či se "ztratí" privátní klíč a nelze nainstalovat či vyexportovat kompletní certifikát. Pro tyto skutečnosti Certifikační autority nabízejí tzv. REISSUE certifikátu, což je kompletní opětovné vystavení certifikátu. Toto vystavení je zcela ZDARMA, podmínkou je, že nová žádost o certifikát musí být na totožné údaje jako byla původní.

Lze změnit údaje v certifikátu?

Údaje ve vystaveném certifikátu již není možné měnit.

Přidání SAN do certifikátu

Během objednávky SAN SSL certifikátu lze vložit všechny požadované domény. Další domény je však možné do certifikátu doplňovat i během platnosti. Pro doplnění dalších domén kontaktujte podporu SSLmentor. V případě vyčerpání objednaného počtu SAN je nutné uhradit další navýšení podle ceníku.

 

CA/Browser fórum

CA/Browser fórum je sdružení certifikačních autorit, tvůrců prohlížečů a operačních systémů, které definuje pravidla v oblasti internetové bezpečnosti týkajících se https komunikace a vystavování certifikátů.

CAA záznam

CAA záznam (Certification Authority Authorization) je záznam v DNS zóně domény, který říká jaká certifikační autorita má povoleno vystavit SSL certifikát k doméně. CAA záznamy jsou dalším dílkem k vyšší bezpečnosti na internetu.

Certificate Revocation List (CRL)

Certificate Revocation List obsahuje seznam certifikátů, které byly zneplatněny během své platnosti. Každá certifikační autorita vkládá do svého seznamu vydané a již nedůvěryhodné certifikáty, kde bylo požádáno o zneplatnění, například z důvodu kompromitace privátního klíče. Revocation List tak umožňuje ověřit platnost certifikátu.

 

SSLmentor doporučuje

Nenašli jste odpověď na vaši otázku?

Neváhejte nám napsat nebo zavolat! Rádi vám poradíme v oblasti SSL certifikátů nebo zabezpečení www stránek. Máme více než 10 leté zkušenosti. SSLmentor je tu pro Vás!