Typy SSL certifikátů a jejich využití

11.1.2013 | Jindřich Zechmeister

Pro laika může být výběr SSL certifikátu složitý, protože existruje několik variant a typů. Krom "klasických" SSL certifikátů pro jednu doménu existují i odlišené typy pro jiné použití. Nyní máte možnost si udělat v problematice jasno

Běžný typ certifikátu pro jednu doménu

Nejčastěji se setkáte s SSL certifikátem vystaveným pro konkrétní "adresu", tedy internetovou doménu. Nejčastěji SSL certifikáty zabezpečují webové stránky, není to však jejich jediné využití. Od specializovaných certifikátů se liší i příznivější cenou.

Typicky je certifikát vystaven pro jednu internetovou doménu, třeba www.nazev-domeny.cz. Rozlišuje se, zda-li bude zabezpečena doména v uvedeném tvaru s WWW na začátku, nebo jen holý název bez WWW. Certifikáty GeoTrust a RapidSSL mají velkou výhodu v tom, že v jednom certifikátů automaticky zabezpečí oba tvary, pokud je certifikát vystaven pro doménu s WWW; to je jejich velká výhoda.

Tyto bežné SSL certifikáty naleznete na SSLmarket pod typem Základní SSL certifikáty.

Hvězdičkový certifikát

Hvězdičkový neboli Wildcard certifikát je určený pro případy, kdy je třeba zabezpečit subdomény jedné hlavní domény. Pokud pro svůj projekt potřebujete zabezpečit například více domén 3. řádu, nemusíte pro každou z nich kupovat jednotlivý certifikát, ale můžete je zabezpečit pomocí hvězdičkového SSL certifikátu.

Můžete si představit doménu ve tvaru *.nazevdomeny.cz (v tomto tvaru se wildcard certifikáty objednávají), kdy na místě hvezdičky může být cokoliv a pro takovou subdoménu bude certifikát automaticky platný.

Pokud využíváte služby například na doménách 3. řádu, můžete s jedním certifikátem důvěryhodně zabezpečit neomezený počet subdomén - a to je přece skvělé! Nemusíte se obávat, zda-li je dotyčná subdoména uvedena v certifikátu.

Multidoménový certifikát SAN/UC

Multidoménové SAN/UC certifikáty jsou určeny především na server Microsoft Exchange, se kterým jsou plně kompatibilní.

Certifikát SAN/UC zabezpečí všechny domény a služby využívané serverem Exchange.

  • doménové jméno a netbios jméno serveru (například owa.domena.cz a owa.local)
  • služba autodiscover, typicky běžící na doméně autodiscover.domena.cz
  • služby OWA, Activesync, Outlook Anywhere či jiná služba používaná serverem (například POP3, IMAP4)

Jak vidíte, tyto certifikáty mohou obsahovat více různých názvů a jmen v jednom certifikátu, a to i takové, které bězně nejde do certifikátu přidat. Například itnerní název serveru nebo interní IP adresu.

Příklady použití:

  • www.sslmarket.cz (FQDN - plně kvalifikované doménové jméno)
  • nazev-domeny.cz (FQDN - plně kvalifikované doménové jméno)
  • server.local (Interní doménové jméno)
  • mail.sslmarket.cz (subdoména)
  • platby.e-shop.cz (subdoména)
  • 10.0.0.1 (privátní IP adresa)
  • msexchange1 (netbios jméno)

Není možné použít:

  • 46.13.243.78 (veřejná IP adresa)
  • pošta01 (není platný název ani doména)

Podpora interních názvů serverů a interních IP adres končí 1.11.2015, pak již názvy nepůjdou do certifikátu přidat.

Certifikáty GeoTrust mohou obsahovat krom hlavní domény až 24 SAN jmen, které spolu nemusí souviset (viz příklady výše). Ušetříte tak čas i peníze, protože nemusíte pro každou doménu pořídit samostatný certifikát. Můžete ho použít i na neomezeném počtu fyzických serverů, protože to GeoTrust licenčně neomezuje.

Certifikát pro podpis kódu

Certifikát pro podpis kódu, nazývaný Code signing certifikát, je určen pro všechny vývojáře aplikací. Je dostupný pro všechny hlavní platformy, jako Windows, Office WBA, Mac, Javu, Android, Adobe Air a další.

Vydavatel aplikace má možnost tímto certifikátem program podepsat a systém koncového uživatele potom bude takovému podpisu věřit. Nezobrazí se varování, že tato aplikace může poškodit počítač, ale naopak uživatel uvidí, kdo aplikaci vydal a podepsal. Samozřejmě si může ověřit i platnost a detaily tohoto certifikátu.

Aplikace nepodepsaná Code signing certifikátem

Otevření aplikace bez digitálního podpisu CS certifikátem

Další výhodou je garance, že kód aplikace nebyl během cesty z uživateli změněn a že je program stejný, jak ho vydal výrobce. 

U Code signing certifikátů potěší i podpora bezpečnostní funkce Internet Exploreru nazvaná SmartScreen filtr.Tento filtr krom jiného hodnotí důvěryhodnost aplikací na základě několika parametrů, včetně množství stažení aplikace.

Filtr SmartScreen nedůvěřuje stahované aplikaci

Filtr SmartScreen nedůvěřuje stahované aplikaci

Pokud aplikaci vyhodnotí jako nedůvěryhodnou, doporučí vám ji nespouštět, což může být pro vývojáře aplikací a jejich zákazníky velká potíž.

 SmartScreen filter nedůvěřuje nepodepsané aplikaci

Při otevírání nedůvěryhodné aplikace s nízkou reputací se zobrazí ještě jedno varování

Code signing certifikát svým podpisem přispívá k důvěryohnosti aplikace pro tento bezpečnostní systém. Samozřejmě aplikace nezíská "reputaci" okamžitě, ale až za nějakou dobu.

SGC certifikáty

Tyto certifikáty jsou zřejmě nejvíce specializované z celé naší nabídky. Dalo by se říct, že je to takový "retro" certifikát, jehož použití se sice upozaďuje, ale stále má význam při dosažení kompatibility starších systémů s novými standardy. 

SGC SSL certifikáty zaručují minimální 128-bitovou hloubku šifrování i pro starší prohlížeče a operační systémy podporující pouze 40 nebo 56-bitové SSL šifrování. Uplatnění tady najde tam, kde je nutné použít vysokou úroveň šifrování i u starších systémů, které to "neumí". Zajímat tedy bude zejména banky a finanční instituce.

Pokud byste si stále nevěděli s výběrem SSL certifikátu rady, stačí kontaktovat podporu SSLmarketu, která vám ráda poradí a pomůže.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz