Ako správne využiť SSL certifikát - časť prvá

17.1.2013 | Jindřich Zechmeister

Samotným nainštalováním certifikátu práca na zabezpečení webu nekončí. Dôležitá je aj správna konfigurácia serveru, šifrovanie a ďaľšie parametre. V následujúcich štyroch článkoch prejdeme tieto aspekty z pohľadu súčasných bezpečnostných odporúčaní a vy si môžete overiť, či využívate certifikát správne a bezpečne.

Prvou témou je výber certifikátu, sila použitých kľúčov a správny názov domény.

Používajte 2048b privátne kľúče

Bitová hĺbka 2048 je v súčasnosti používaná a certifikačné autority už nedovoľujú použitie 1024b kľúčov. Snažte sa teda na všetkých serveroch používať práve túto bitovú hĺbku. Ak ešte niekde používate 1024b kľúč, nie je ho treba okamžite vymeniť, ale mali by ste počítať s výmenou v budúcnosti (najneskôr do dvoch rokov).

Pre nový SSL certifikát či jeho obnovenie je od 1.1.2012 potrebný kľúč o minimálnej bitovej hĺbke 2048 bitov. Podobné zmeny v používaní bitovej hĺbky sa nedejú často, môžete teda počítať s tým, že v súčasnosti vyhovujúca bitová hĺbka 2048 bitov zostane používanou ešte dlho.

Chráňte svoje privátne kľúče

SSL certifikáty fungujú na princípe asymetrickej kryptografie, pre použitie certifikátu teda potrebujete privátny kľúč. Ak si niekto z vášho webu certifikát uloží, nemôže ho bez príslušného privátneho kľúča použiť.

Bitovú hĺbku tohto kľúča nepoznám. Ani neviem, či je verejný alebo privátny.

Úplne zásadná je ochrana privátneho kľúča silným heslom. Zlodej privátneho kľúča musí pri jeho použití zadať jeho heslo, a len silné a dlhé heslo ho dokáže zastaviť.

Z tohto dôvodu je privátny kľúč cieľom hackerov a jeho zabezpečeniu treba venovať pozornosť. V žiadnom prípade nesmie opustiť server a nesmie byť prenášaný alebo zasielaný e-mailom.

Ak máte podozrenie, že sa podobný scenár už stal, vytvorte nový privátny kľúč spolu s CSR požiadavkou a spolu so zákazníckou podporou SSLmarket nechajte váš certifikát zdarma pregenerovať a starý certifikát zrušiť.

Pri obnovení certifikátu tiež odporúčame vygenerovať nový privátny kľúč a CSR pre obnovenie (verejný kľúč).

Zabezpečte správny názov domény

Výber správneho doménového mena pre certifikát je dôležitý, aj keď sa to môže javiť triviálne. Výberom tzv. Common name, teda domény, pre ktorú je certifikát vystavený, ovplyvňujete pre aký názov je certifikát platný a dôveryhodný.

Ak necháte vystaviť certifikát pre "nazovdomeny.sk", budú návštevníci na tejto adrese v poriadku zabezpečení certifikátom. Ak by však zadali "https://www.nazovdomeny.sk", certifikát nebude pre tento tvar (adresu) domény platný a zobrazí návštevníkovi nepríjemnú chybu. Samozrejme ho môže aj odradiť od návštevy vášho webu.

Odporúčam preto certifikáty z rodiny GeoTrust, pri ktorých pri objednaní certifikátu pre doménu s WWW dostanete druhý tvar bez WWW zdarma. Viac informácií nájdete na produktovej stránke tejto autority.

Ak potrebujete certifikátom zabezpečiť nesúvisiaci názov či doménu, použite SAN/UC certifikát, ktorý vám to umožní.

Používajte dôveryhodné certifikačné autority

Výberom SSL certifikátu z našej ponuky určite neurobíte chybu, pretože všetky nami ponúkané certifikačné autority patria do rodiny Symantec, najprestížnejšej certifikačnej autority na svete a svetoznámych odborníkov na zabezpečenie.

Lepšiu voľbu nenájdete. Certifikačné autority Symantec, Thawte, GeoTrust a RapidSSL sa riadia najprísnejšími bezpečnostnými pravidlami, ponúkajú najdôveryhodnejšie overenie a preukázateľne sú aj najdôveryhodnejšie pre návštevníkov vášho webu.

S týmito autoritami máte istotu, že ich privátne kľúče nie sú umiestnené na serveri nachádzajúcom sa v garáži v niektorej z rozvojových krajín. Tieto certifikačné autority nie sú zaťažené škandálmi s kompromitáciami a bezpečnostnými rizikami.

---