Jak správně využít SSL certifikát - díl první

17.1.2013 | Jindřich Zechmeister

Samotným nainstalováním certifikátu práce na zabezpečení webu nekončí. Důležitá je i správná konfigurace serveru, šifrování a dalších parametrů. V následujících čtyřech článcích projdeme tyto aspekty z pohledu současných bezpečnostních doporučení a vy si můžete ověřit, zda-li využíváte certifikát správně a bezpečně.

Prvním tématem je výběr certifikátu, síla použitých klíčů a správný název domény.

Používejte 2048b privátní klíče

Bitová hloubka 2048 je v současnosti používaná a certifikační autority již nedovolují použití 1024b klíčů. Snažte se tedy na všech serverech používat právě tuto bitouvou hloubku. Pokud ještě někde používáte 1024b klíč, není třeba jej neprodleně vyměnit, ale měli byste počítat s výměnou v budoucnu (nejpozději do dvou let).

Pro nový SSL certifikát či jeho obnovení je od 1.1.2012 potřeba klíč o minimální bitové hloubce 2048 bitů. Podobné změny v používané bitové hloubce se nedějí často, můžete tedy počítat s tím, že v současnosti vyhovující bitová hloubka 2048 bitů se bude používat ještě dlouho.

Chraňte své privátní klíče

SSL certifikáty fungují na principu asymetrické kryptografie, pro použití certifikátu tedy potřebujete privátní klíč. Pokud si někdo z vašeho webu certifikát uloží, nemůže ho bez přislušného privátního klíče použít.

Privátní klíč

Bitovou hloubku tohoto klíče neznám. Ani nevím, zda-li je veřejný či privátní.

Naprosto zásadní je ochrana privátního klíče silným heslem. Zloděj privátního klíče musí při jeho použití zadat jeho heslo, a jen silné a dlouhé heslo ho dokáže zastavit.

Z tohoto důvodu je privátní klíč cílem hackerů a jeho zabezpečení je třeba věnovat pozornost. V žádném případě nesmí opustit server a nesmí být přenášen nebo zasílán e-mailem.

Pokud máte podezření, že se podobný scénář již stal, vytvořte nový privátní klíč spolu s CSR requestem a spolu se zákaznickou podporou SSLmarket nechte váš certifikát zdarma přegenerovat a starý certifikát zrušit.

Při obnovení certifikátu též doporučujeme vygenerovat nový privátní klíč a CSR pro obnovení (veřejný klíč).

Zabezpečte správný název domény

Volba správného doménového jména pro certifikát je důležitá, byť se to může jevit triviálně. Volbou tzv. Common name, tedy domény, pro kterou je certifikát vystaven, ovlivňujete pro jaký název je certifikát platný a důvěryhodný.

Pokud necháte vystavit certifikát pro "nazevdomeny.cz", budou návštěvníci na této adrese v pořádku zabezpečení certifikátem. Pokud by však zadali "https://www.nazevdomeny.cz", certifikát nebude pro tento tvar (adresu) domény platný a i zobrazí návštěvníkovi nepříjemnou chybu. Samozřejmě ho může i odradit od návštěvy vašeho webu.

Chyba prohlížeče - certifikát byl vystaven pro jinou doménu

Doporučuji proto certifikáty z rodiny GeoTrust, u kterých při objednání certifikátu pro doménu s WWW dostanete druhý tvar bez WWW zdarma. Více informací naleznete na produktové stránce této autority.

Pokud potřebujete certifikátem zabezpečit nesouvisející název či doménu, použijte SAN/UC certifikát, který vám to umožní.

Používejte důvěryhodné certifikační autority

Výběrem SSL certifikátu z naší nabídky určitě neuděláte chybu, protože všechny námi nabízené certifikační autority patří to rodiny Symantec, nejprestižnější certifikační autority na světě a světoznámé odborníky na zabezpečení.

Certifikační autorita Symantec

Lepši volbu nanejdete. Certifikační autority Symantec, Thawte, GeoTrust a RapidSSL se řídí nejpřísnějšími bezpečnostními pravidly, nabízí nejdůvěryhodnější ověření a prokazatelně jsou i nejdůvěryhodnější pro návštěvníky vašeho webu.

S těmito autoritami máte jistotu, že jejich privátní klíče nejsou umístěny na serveru nacházejícím se v garáži v některé z rozvojových zemí. Tyto certifikační autority nejsou zatíženy skandály s kompromitacemi a bezpečnostními riziky.

Cyklus Jak správně využít SSL certifikát se zakládá na bezpečnostních doporučeních společnosti Qualys, lídra na poli cloudové bezpečnosti, a jejich dokumentu SSL/TLS Deployment Best Practices.

Další díly seriálu:


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz