Chtěli byste si zabezpečit svůj blog nebo stránky SSL certifikátem a vůbec netušíte jak? No já byl na tom úplně stejně ještě před týdnem. Když v roce 2014 Google oznámil, že zabezpečené weby přes SSL (HTTPS) bude preferovat, pořád mi to leželo v hlavě a říkal jsem si, že to jednou musím udělat. Konečně přišel ten čas a já se do toho pustil. Dobrá zpráva je, že to zabere opravdu jen pár minut. Ale pojďme pěkně popořadě.
Rozdíl mezi HTTP a HTTPS
HTTP (anglicky HyperText Transfer Protokol) je laicky řečeno způsob, jakým webový prohlížeč (který máte teď před sebou) komunikuje se vzdáleným počítačem (serverem). Tato komunikace je však otevřená a přenášené informace může po cestě mezi Vámi a serverem kdokoliv číst, včetně hesel a dalších citlivých údajů, které vyplníte ve formulářích.
HTTPS (Hypertext Transfer Protocol Secure) je nadstavba síťového protokolu HTTP, která umožňuje zabezpečit spojení mezi klientem (např. webovým prohlížečem) a serverem před odposloucháváním, podvržením dat a umožňuje též ověřit identitu protistrany.
Co s tím má společný SSL certifikát?
SSL certifikát je základním kamenem pro HTTPS zabezpečení komunikace mezi webovým prohlížečem a serverem. Při zahájení komunikace si obě strany vymění své veřejné klíče, které jsou podepsány důvěryhodnou certifikační autoritou (CA).
Sice je možné si takový SSL certifikát digitálně podepsat sám, ovšem takový certifikát je považován za nedůvěryhodný a při přístupu na webovou stránku zabezpečenou takovým SSL certifikátem je uživatel odrazen na stránku vstoupit varovným hlášením v prohlížeči.
Aby taková situace nenastala, potřebujeme důvěryhodný SSL certifikát, který je digitálně podopsaný důvěryhodnou certifikační autoritou. Mezi nejznámější a celosvětově uznávané certifikační autority patří GeoTrust, Thawte, COMODO, Trustwave, RapidSSL a prestižní Symantec (dříve VeriSign).
Jsem paranoidní?
Já jsem jeden z těch co určitě paranoidní není. Proč jsem se tedy rozhodl zabezpečit stránky? Jedním z důvodů bylo už zmíněné rankování googlem, i když Google zmiňuje pouze 1% dopad. Poté i fakt, že lidé zadávají svoje osobní informace jako jméno, email do formuláře případně se přihlašují k odběru blogu. WordPress sám o sobě je náchylný k cyber útokům, tak i to byl důvod. No a nakonec jsem zjistil, že to není tak drahé.
Jaký SSL certifikát vybrat?
Jakmile jsem se dostal do fáze, kdy jsem začal googlit “kde koupit SSL certifikát”, spustila se na mě lavina informací. A vyznat se v ní není opravdu tak jednoduché. Můj instinkt byl, jít na certifikační autority přímo, tam se mě ale protáčely panenky nad cenami. Tak jsem šel na resellery a tam zas ceny byly strašně nízké, až jsem myslel, že je to podvod. No ale ono to naštěstí tak je. Takže pak už zbývalo se jen vyznat v pojmech.
Důvěryhodné SSL certifikáty se dělí do tří kategorií podle jejich úrovně a způsobu ověření. Od náročnosti ověření se pak samozřejmě odvíjí i cena samotného SSL certifikátu, které musí certifikační autorita před vystavením důvěryhodného certifikátu provést.
DV (Domain Validation) — SSL certifikáty s ověřením vlastníka domény – nejlevnější, moje volba
OV (Organization Validation) — SSL certifikáty s ověřením organizace (firmy nebo jiné instituce)
EV (Extended Validation) — tzv. rozšířené ověření – známý zelený řádek, který vidíte např. na internetbance apod.
DV certifikát pořídíte na 3 roky za cca 550Kč. A jediné co musíte rozhodnout ještě je rozsah certifikátu. Pokud používáte jen jednu doménu (např. petrtoman.com, www.petrtoman.com) nic neřešíte. Pokud máte i subdomény (news.vasedomena.com, blog.vasedomena.com apod.) musíte si pořídit Wildcard SSL certifikát.
Výběr CA
Posledním rozhodnutím bylo, od které firmy si to koupit a od jaké Certifikační Autority. Na výběr je toho opravdu hodně. Já se nakonec rozhodl pro SSLS.cz a COMODO jako CA. Comodo je celosvětově známá a s certifikátem nebyl problém. Vybral jsem si variantu EssentialSSL. Pokud zvažujete přechod na HTTPS, tak z vlastní zkušenosti tyto firmy můžu doporučit. A pokud kliknete přímo na tento affiliate link, podpoříte mě a tento blog v dalším psaní. Díky.
Instalace SSL certifikátu
Samotná instalace se pak ve většině případů provádí v nastavení vašeho hostingu. Mě běží wordpress na mém vlastním, a mám u domény přímo možnost zabezpečení přes SSL. Stačí vygenerovat CSR, které se pak použije při generování certifikátu, to bylo v nastavení možné a pak po obdržení certifikátu ho tam jen vložíte.
Vše se tvářilo ok, nic méně web pořád neukazoval HTTPS. Díky podpoře jsem zjistil, že ještě musím změnit linky ve WordPressu. To uděláte v nastavení adres přímo ve WP.
Doufám, že vám tento návod pomohl, a vzhůru do světa zabezpečeného webu.
No comments:
Post a Comment