SSL certifikát (Secure Sockets Layer) je digitálny certifikát, ktorý zaisťuje šifrovanie komunikácie medzi webovým prehliadačom užívateľa a serverom. Je to základný prvok zabezpečenia dát prenášaných cez internet a zaisťuje dôvernosť, integritu a autenticitu dát. Keď používateľ navštívi webovú stránku chránenú SSL certifikátom, prehliadač a server navzájom vymenia si informácie a nadviažu tzv. SSL/TLS (Transport Layer Security) spojenie. Počas tohto procesu je komunikácia medzi prehliadačom a serverom šifrovaná, čo znamená, že informácie sú nečitateľné pre nepovolané osoby, ktorí by sa pokúšali zachytiť prenos dát. SSL certifikáty majú niekoľko dôležitých funkcií:
- Zaistenie dôvernosti: Šifrovanie dát zabraňuje nepovolaným osobám v odpočúvaní alebo čítaní prenášaných dát.
- Zaistenie integrity: SSL certifikát chráni dáta pred modifikáciou alebo pozmenením počas prenosu tým, že zaisťuje, že dáta neboli počas prenosu narušené.
- Autenticita: SSL certifikát overuje identitu servera, čo umožňuje používateľom overiť, že sa pripájajú k správnemu serveru a nie sú vystavení riziku podvodov.
Pri webhostingu sú SSL certifikáty kľúčovým prvkom pre zabezpečenie webových stránok a ochranu citlivých dát, ako sú heslá, platobné údaje alebo osobné informácie používateľov. Webové stránky, ktoré používajú SSL certifikáty, sú označené symbolom zámku v adresnom riadku prehliadača a sú označené ako bezpečné. Použitie SSL certifikátu pri webhostingu zvyšuje dôveru používateľov vo vaše webové stránky a poskytuje ochranu proti útokom ako je útok "man-in-the-middle", kedy útočník pokúša sa zachytiť komunikáciu medzi používateľom a serverom. Tým, že zaistíte, že komunikácia je šifrovaná a že identita servera je overená, môžete minimalizovať riziko úniku citlivých informácií a poskytnúť bezpečné prostredie pre používateľov vašej webovej stránky.
Existuje mnoho rôznych certifikačných autorít (Certification Authorities, CA), ktoré poskytujú SSL certifikáty pre webové stránky. Medzi niektoré z najznámejších patria:
- Let's Encrypt: Let's Encrypt je nezisková certifikačná autorita, ktorá poskytuje SSL certifikáty zadarmo. Je veľmi populárny pre svoju ľahkú integráciu a nízku cenu (väčšinou zadarmo).
- Comodo: Comodo je jednou z najväčších certifikačných autorít na svete. Poskytuje širokú škálu SSL certifikátov, vrátane základných doménových certifikátov a rozšírených validačných certifikátov (EV).
- DigiCert: DigiCert je globálna certifikačná autorita, ktorá poskytuje širokú škálu certifikátov pre webové stránky, vrátane SSL certifikátov s rôznou úrovňou validácie a certifikátov pre firemné potreby.
- GlobalSign: GlobalSign je ďalšia globálna certifikačná autorita, ktorá poskytuje širokú škálu SSL certifikátov pre zabezpečenie webových stránok a online transakcií.
- GoDaddy: GoDaddy je známy registrátor domén, ktorý tiež ponúka SSL certifikáty. Je populárny pre svoju ľahkú integráciu s webovým hostingom a ďalšími službami.
Toto je iba niekoľko príkladov certifikačných autorít, ktoré sú bežne používané na zabezpečenie webových stránok. Každá z týchto autorít má svoje vlastné ponuky a ceny, a voľba medzi nimi závisí od konkrétnych potrieb a preferencií používateľa.
Bezpečnosť certifikátov
Pri implementácii SSL (Secure Sockets Layer) je dôležité vykonať rad bezpečnostných nastavení, aby bola zaistená čo najvyššia úroveň ochrany dát a užívateľov. Nasledujúce sú kľúčové bezpečnostné nastavenia, ktoré by mali byť vykonané:
- Silné šifrovacie algoritmy: Použite iba silné šifrovacie algoritmy na zabezpečenie komunikácie medzi webovým serverom a prehliadačom. Zahrňte moderné šifrovacie algoritmy, ako sú AES (Advanced Encryption Standard), a vyhnite sa zastaraným algoritmom, ako je napríklad SSLv3 a TLS 1.0, ktoré sú považované za nedostatočne bezpečné.
- Bezpečnostné certifikáty: Použite certifikáty vydané dôveryhodnou certifikačnou autoritou (CA). Uistite sa, že certifikáty sú platné, aktuálne a že zodpovedajú správnemu doménovému menu. Skontrolujte platnosť certifikátu pomocou OCSP (Online Certificate Status Protocol) a nastavte kontrolu CRL (Certificate Revocation List) pre overenie či certifikát nebol odvolaný.
- HSTS (HTTP Strict Transport Security): Aktivujte HSTS hlavičku na vašom serveri, ktorá zaistí, že komunikácia medzi prehliadačom a serverom je vždy šifrovaná a že sa prehliadač bude pokúšať navštevovať stránky iba pomocou HTTPS.
- PFS (Perfect Forward Secrecy): Zapnite Perfect Forward Secrecy, čo je funkcia, ktorá zaisťuje, že aj keď súkromný kľúč SSL certifikátu je kompromitovaný, skoršia komunikácia zostáva šifrovaná a nie je ohrozená.
- HTTP/2: Ak je to možné, použite protokol HTTP/2, ktorý poskytuje lepší výkon a bezpečnosť ako jeho predchodca HTTP/1.1. HTTP/2 je štandardne šifrovaný pomocou TLS.
- Bezpečnostné nastavenia servera: Majte aktualizovaný operačný systém a všetok serverový softvér. Nastavte vhodné oprávnenia súborov a adresárov a minimalizujte exponované povrchy útoku. Pravidelne monitorujte a auditujte bezpečnostné udalosti.
- Bezpečnostné hlavičky HTTP: Nastavte bezpečnostné hlavičky HTTP, ako napríklad CSP (Content Security Policy), X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, ktoré pomáhajú chrániť webovú stránku pred rôznymi typmi útokov, ako sú útoky typu Cross-Site Scripting (XSS) alebo Clickjacking.
Dodatočné zvýšenie bezpečnosti pri použití webhosting portálu
HSTS (HTTP Strict Transport Security) a OCSP (Online Certificate Status Protocol) sú dve bezpečnostné technológie, ktoré sú často využívané pri webhostingu na posilnenie zabezpečenia webových stránok.
1. HSTS (HTTP Strict Transport Security): je bezpečnostný mechanizmus, ktorý umožňuje webovým serverom informovať prehliadače o tom, že majú výhradne používať šifrovanú komunikáciu (HTTPS) pri komunikácii so serverom. Keď prehliadač dostane hlavičku HSTS od servera, uloží si túto informáciu a v budúcnosti automaticky navštevuje danú webovú stránku iba pomocou HTTPS, aj keď používateľ vloží iba HTTP adresu.
Prínosy HSTS:
- Posilňuje bezpečnosť tým, že minimalizuje riziko útokov ako je SSL stripping alebo session hijacking.
- Zvyšuje dôveru používateľov tým, že zaisťuje, že komunikácia s webovým serverom je vždy šifrovaná.
2. OCSP (Online Certificate Status Protocol): je protokol používaný na overenie platnosti digitálnych certifikátov. Keď prehliadač pristúpi na webovú stránku s HTTPS, server pošle správu OCSP, ktorá overuje platnosť SSL certifikátu. Prehliadač potom skontroluje túto odpoveď OCSP, aby sa ubezpečil, že certifikát je stále platný a nepretržite aktualizovaný.
Prínosy OCSP:
- Zlepšuje bezpečnosť tým, že poskytuje aktuálne informácie o platnosti certifikátov.
- Zabraňuje používaniu neplatných alebo odvolaných certifikátov, čo znižuje riziko útokov, ako je podvrhnutie certifikátu.
Pri webhostingu sú HSTS a OCSP dôležitými bezpečnostnými mechanizmami, ktoré pomáhajú chrániť webové stránky a užívateľov pred rôznymi formami útokov, ako sú útoky na únik dát, podvrhnutie certifikátov a ďalšie. Používanie týchto technológií je všeobecne považované za štandard pre zaistenie bezpečnosti webových stránok na internete.
Nastavenie SSL v prostredí Website
- V webhostingovom portáli je potrebné vybrať požadovanú doménu kde budete inštalovať SSL certifikát.
2. Po otvorení položky SSL/TLS Certificates nájdete prehľad o aktuálnom stave vaši certifikátov ktoré využívate na doméne. Systém automaticky detekuje či sa jedná o platné alebo neplatné certifikáty.
3. Pre doménu je možné nainštalovať certifikáty buď´s využitím vlastnej certifikačnej autority (Je potrebné dodať podpísaný certifikát vašou certifikačnou autoritou) alebo môžete využiť certifikačnú autoritu Lets Encrypt ktorá ponúka výdaj certifikátov bezplatne.
4. Pri výbere certifikačnej autority odporúčame zabezpečiť vydanie certifikátu pre vašu doménu, ktorá obsahuje príponu “www.”
