Jaký SSL certifikát vybrat pro svůj web

Tenhle článek je bohužel několik let starý a neaktuální. Kepi se nedávno o výběru SSL certifikátu znovu rozepsal, pro novější verzi z října 2018 klikněte sem. Příjemné počtení. 

Co je to SSL certifikát

Pro technicky korektní a správný popis se mrkněte jinam. Pro naše potřeby se dá říci, že SSL certifikát je něco jako občanka pro web. Certifikační autority, představte si je například jako místní magistráty, od vás dostanou žádost o vystavení certifikátu pro určitou doménu, ověří si, že ten kdo s doménou může nakládat s vystavením certifikátu souhlasí a vystaví ho. Náš prohlížeč pak při návštěvě dané domény ověří, „jestli občanku vydal ten správný magistrát“ a nejedná se o padělek.

Je nejdražší nejlepší?

Určitě ne ve všech situacích. Chcete-li pouze nasadit HTTPS only, bude vám stačit popravdě jakýkoliv certifikát, pokud je vydán důvěryhodnou autoritou. Jiná je situace, pokud provozujete blog, jiná pro malý firemní web a jiná pro e-shop či bankovní instituci. Nyní se tedy vrhneme na to jak certifikát vybrat, můžeme to shrnout do následujících kroků:

1. výběr certifikační autority
2. rozhodnutí, jestli potřebujeme normální, wildcard nebo SAN certifikát
3. výběr typu validace certifikátu
4. výběr dodavatele

1. Certifikační autority

Certifikačních autorit je mnoho. Důležité pro výběr správné autority je, jestli je důvěryhodná a jestli jí věří běžně používané prohlížeče. Důvěryhodnost autority za vás už posoudily jednotlivé prohlížeče, ale ani to nemusí být stoprocentní. Za všechny lze uvést například případ autority Comodo, která vydala falešný certifikát hned pro několik velmi známých webů. Zřejmě největší certifikační autoritou na světe je Symantec (díky akvizici Verisign), který má pod sebou několik certifikačních autorit (obchodních značek): Symantec, GeoTrust, Thawte a low-cost značku RapidSSL. Certifikační autoritu si může vytvořit každý nebo může používat self-signed certifikáty, takové ale nebudou důvěryhodné v prohlížečích vašich návštěvníků. Každý z nich by si musel vaši autoritu ručně nainstalovat. Na internetu je to nemožné, ale na intranet menší firmy nebo domácí použití se určitě hodí. U větších firem nebo institucí (často např. vysoké školy) je však použití vlastní autority nevhodné, může dokonce vést k bezpečnostním problémům. 

Důvěryhodnost v prohlížečích

To je pro nás to nejdůležitější. Pokud autoritě nevěří prohlížeč kteréhokoliv z vašich návštěvníků, jednoduše se k vám takový návštěvník nedostane. Někteří z vás si určitě vzpomenou na velký propadák při spuštění datových schránek. Na stránkách certifikační autority nebo prodejce certifikátů si můžete většinou ke každému certifikátu zobrazit seznam prohlížečů, které podporuje. Mnoho minoritních prohlížečů kopíruje seznamy důvěry z těch známějších (např. ze seznamu certifikátů Mozilly), takže certifikát je většinou podporován v mnohem více prohlížečích, než se uvádí. Určitě si nekupujte certifikáty pro web od nejmenovaných českých autorit, které jsou sice nutné pro řešení digitálních podpisů, ale web jim příliš nejde. Několikrát se již v minulosti stalo, že v prohlížečích fungovat jednoduše přestaly.

Pozor na stará mobilní zařízení

Pokud nutně potřebujete, aby byly vaše stránky podporovány např. na starém Windows Mobile nebo prvních Androidech, dobře si zkontrolujte, že jej certifikát podporuje. Z uvedených příkladů např. můžu říci, že s RapidSSL nepochodíte, ale s GeoTrust vám bude i starý mobil fungovat v pohodě.

2. Typ certifikátu aneb pozor na subdomény

Další důležitou věcí je správně zvolit doménu. Pokud kupujete běžný certifikát, je totiž vždy platný pouze pro konkrétní subdoménu! Tedy pokud koupíte certifikát pro www.igloonet.cz nebude vám fungovat na blog.igloonet.cz. Slušné autority vám však při objednávce webu pro www.igloonet.cz přihodí do certifikátu alespoň variantu bez www, tedy igloonet.cz

Wildcard certifikáty

Na neomezený počet poddomén existuje řešení v podobě Wildcard certifikátu. Ten se v našem případě vystaví na *.igloonet.cz a všechny poddomény jsou jím tak pokryty (pouze jeden řád, tedy např. blog.igloonet.cz bude v pořádku, www.blog.igloonet.cz už ale ne.) Opět musíte natrefit na slušnou certifikační autoritu, aby vám do *.igloonet.cz přihodila i igloonet.cz. Pokud chcete zabezpečit pouze dvě poddomény, téměř vždy se vám vyplatí dva normální certifikáty namísto wildcardu.

SAN certifikáty

Pokud potřebujete mít více různých domén v jednom certifikátu nebo potřebujete certifikát s rozšířenou validací pro více domén, je řešením SAN. Jednoduše objednáte jeden certifikát, který platí pro vícero domén. Pozor, validace probíhá pro každou zvlášť. Více si můžete přečíst na blogu SSL Certifikátů.

3. Validace a typy validace

Validace SSL certifikátu je proces, který provádí certifikační autorita před vystavením vašeho certifikátu. Průběh validace se řídí podmínkami, které si autority určili v rámci CA/Browser Fóra a případně vlastními doplňujícími podmínkami. Pozor na domény, které mají v názvu obchodní značky či jména jiných známých firem - certifikační autorita při všech typech validace zároveň ověřuje, jestli se nesnažíte vystavit certifikát na doménu, která by se pak mohla tvářit jako nějaká jiná firma. Zapomeňte tedy na certifikát na doméně facebook.cz, ale zároveň budete mít problém i s doménou facebook.vasefirma.cz.

Validace dle domény

Nejlevnější certifikáty jsou validovány pouze dle domény. Při vystavení stačí potvrdit zprávu, která dorazí na e-mail vlastníka domény nebo některou z „běžných“ adres na dané doméně (postmaster@, ssladmin@, admin@ a podobně). Ve zprávě odkliknete souhlas a většinou do pár minut je certifikát u vás. V některých případech se může stát, že vaše doména spadne do škatulky manuálního ověření a na vystavení pak budete čekat několik hodin. Ve výsledném certifikátu je vidět pouze název domény, nic o vaší organizaci. Pokud někoho zajímá pozadí toho, co autorita ověřuje, můžete se podívat na Baseline Requirements, které definuje již zmíněné CA/Browser Forum. 

Validace dle organizace

Tady už vám pouze e-mail u domény stačit nebude, i když je opět prvním krokem. Navíc si certifikační autorita vyžádá dokumenty, dle kterých ověří, že jste oprávněný jednat za danou firmu. Zároveň si autorita zjišťuje z veřejně dostupných seznamů vaše údaje a „oficiální“ telefonní číslo. V zahraničí je to převážně D&B (www.dnb.com), u nás pak např. 1188.cz či zlaté stránky. Na zjištěném telefonu vás pak kontaktují a ověří, jestli opravdu chcete certifikát vystavit. Ve výsledném certifikátu již přímo uvidíte název organizace, nejen vaši doménu. Vystavení certifikátu trvá většinou 2 a více pracovních dnů.

Rozšířená validace

Hlavní část je stejná jako u validace dle organizace. Při žádosti o vystavení musíte nejdříve vyplnit, podepsat a poslat dokument „Acknowledgement of Agreement“, kde stvrzujete, že chcete vystavit certifikát a že jste oprávněnou osobou. Následně je prováděna rozšířená validace. Ve výsledném certifikátu již přímo uvidíte název organizace, nejen vaši doménu. Zároveň je certifikát nejlépe viditelný, ve většině prohlížečů je zvýrazněn zeleným adresním řádkem nebo zelenou částí před adresním řádkem. Vystavení certifikátu s rozšířenou validací trvá většinou několik pracovních dnů, pokud se někde zdržíte při dodání dokumentů nebo musíte získat dodatečné dokumenty od právníka či aktualizovat údaje v registrech, může se natáhnout klidně na 14 dní. 

4. Výběr dodavatele

A jsme téměř na konci. Máte vybraný certifikát a nyní zbývá jej už jenom koupit.

Nákup u certifikační autority

Zdálo by se, že se bude jednat o ideální cestu, ale není tomu většinou pravda. Při nákupu přímo u certifikační autority je totiž hned několik „problémů“.

Cena

Certifikační autority jsou snad vždy dražší, někdy i významně, než jednotliví prodejci - reselleři.

Komunikace jen v angličtině

Certifikační autority nemají českou či slovenskou podporu, budou s vámi jednat pouze v angličtině, pro evropskou oblast pak častěji v Indglishtině. To může být vzhledem k složitosti tématu problém i pro ty, co angličtinu rozumně ovládají.

Podpora

Podpora je u certifikačních autorit často velmi rychlá na běžné problémy, ale velmi pomalá v případě nějakého zádrhelu. Lidé na podpoře také většinou zvládají řešit pouze základní problémy a složitější věci předávají na další oddělení. Pro ty pak není několik dní na reakci žádný problém.

Nákup u prodejců

Pokud najdete dobrého prodejce vybrané autority, dostanete se na lepší cenu, můžete komunikovat v češtině či slovenštině a můžete mít lepší podporu. Právě kvůli problémům s pochopením tématu, výběrem certifikátu, komunikací a podporou jsme před lety v igloonet spustili SSL Certifikáty a pomohli už mnoha firmám i jednotlivcům s pochopením, nákupem i instalací SSL certifikátů. I proto vám nemohu nijak nezaujatě doporučit dobré prodejce, zkuste si každopádně zadat výraz SSL certifikáty do Google a najdete jich spousty.

Shrnutí a příklady

Tak a jsme na konci. Teď už doufám alespoň o trošku lépe chápete, jak se při výběru certifikátu rozhodnout. V každém případě se vrhneme ještě na pár příkladů toho, jak bych vybral certifikáty z naší nabídky já pro následující situace.

• Osobní blog na blog.superultrakuldomena.cz
  Doporučení: RapidSSL. Doména blog.superultrakuldomena.cz
• Firemní web malé firmy na www.nejakafirma.cz
  Doporučení: RapidSSL nebo True BusinessID. Doména www.nejakafirma.cz
• Firemní web malé firmy na nejakafirma.cz
  Zde vybíráme úplně stejně jako u předchozího příkladu, ale máme primární doménu bez www. Využijeme toho, že certifikační autorita nám do certifikátu při výběru domény www přihodí i variantu bez www, stejně musíme www variantu přesměrovat na tu primární, lidé www zadávají i když jim ho neřeknete.Doporučení: RapidSSL nebo True BusinessID. Doména www.nejakafirma.cz
• Firemní web běžné firmy www.beznafirma.cz s vlastním mail serverem
  Počítáme s tím, že je potřeba provozovat několik domén. Firma má jednak web www.beznafirma.cz, zároveň ale zaměstnanci přistupují na e-mailový server na mail.beznafirma.cz.Doporučení: 2× RapidSSL nebo 2× True BusinessID certifikáty - jeden pro www.beznafirma.cz a jeden pro mail.beznafirma.cz
• Vývojářská firma www.beznavyvojarskafirma.cz
  Zde budeme vycházet z podobného modelu jako u běžné firmy, navíc se ale provozuje několik dalších poddomén pro zákaznické projekty. Zde už se nám téměř vždy vyplatí wildcard certifikát.Pozor, pokud budeme vyvíjet např. pro mobily, budeme se chtít blejsknout i v těch starších, takže RapidSSL ne. Doporučení: 1 RapidSSL Wildcard nebo TrueBusinessID Wildcard certifikát. Doména *.beznavyvojarskafirma.cz
• Malý e-shop s korálky na www.mujmalyeshopkoralky.cz
  Doporučení: RapidSSL. Doména www.mujmalyeshopkoralky.cz
• Běžný e-shop www.nejakybeznyeshop.cz
  Zde už bych se určitě zaměřil na působení na zákazníky a koupil certifikát se zeleným proužkem. Osobně jsme žádné rozsáhlejší testování nedělali, ale minimálně v USA několikrát naměřili větší míru konverze při použití EV certifikátu versus běžného.Doporučení: TrueBusiness ID with EV. Doména www.nejakybeznyeshop.cz
• Větší e-shop větší organizace
  Firma provozuje například www.jedenvelkyeshop.cz, dále velkoobchod na velkoobchod.jedenvelkyeshop.cz a k tomu vlastní mailserver na mail.jedenvelkyeshop.cz. Obrázky navíc tahá z další domény img.jedenvelkyeshop.cz. Jelikož u EV certifikátu nemůžeme (alespoň u GeoTrust a Symantec) využít wildcard variantu, vybereme SAN certifikát. Doporučení: TrueBusiness ID with EV SAN. Primární doména www.jedenvelkyeshop.cz (což přihodí i variantu bez www) a dodatečné domény mail.jedenvelkyeshop.cz, velkoobchod.jedenvelkyeshop.cz a img.jedenvelkyeshop.cz

Zeptejte se

Pokud si i přes tento článek nejste při výběru jisti, zeptejte se svého dodavatele. Napište mu váš případ a určitě vám s výběrem poradí.