Deset chyb při použití SSL certifikátu a jak jim předejít

5. 3. 2014 | Jindřich Zechmeister

Při práci se SSL certifikátem a při jeho nasazení se často opakuje řada chyb. Chceme obvyklé chyb připomenout a doporučit, jak se jich vyvarovat.

Deset (začátečnických) chyb, kterým byste se měli vyhnout

  1. Výběr certifikátu podle nejnižší ceny. Ne všechny certifikační autority jsou stejné. Nejnižší cena automaticky neznamená špatný produkt, ale vystavující certifikační autorita nemusí být důvěryhodná. Doporučujeme proto využít osvědčené a globálně známe autority, jako například Symantec, Thawte nebo GeoTrust. Tyto autority jsou důvěryhodné a neprovází je bezpečnostní incidenty.
  2. Nepřipravenost. Při žádosti o certifikát potřebujete několik údajů o žadateli, které je lepší si připravit předem. U DV certifikátů musíte znát e-mail pro ověření, který použijete. U OV a EV certifikátů je třeba krom detailů žádající firmy znát i kontaktní osobu pro ověření, její e-mail a telefonní číslo.
  3. Objednání špatného typu certifikátu. Před objednáním certifikátu je potřeba ujasnit, jaký typ certifikátu je potřeba a jaké ověření by měl mít. V nabídce SSLmarketu najdete jak certifikáty pro web, tak i pro podpis aplikací. Úrovně ověření jsou tři - doménové ověření přes e-mail, ověření organizace a rozšířené EV ověření. Důležitým aspektem je i počet domén - je třeba si ujasnit, jestli potřebujete neomezený počet subdomén (wildcard certifikáty), několik domén navíc (SAN certifikáty), nebo jen jednu doménu (běžný SSL certifikát).
  4. Prodloužení certifikátu na poslední chvíli. Prodloužení SSL certifikátu na poslední chvíli není dobrý nápad. Certifikát můžete prodloužit od 60 dnů před expirací bez ztráty zbývající platnosti, protože ta bude připočtena k platnosti nového SSL certifikátu. Certifikační autorita potřebuje i pro ověření prodlužovaného certifikátu čas, takže doporučujeme zejména EV certifikáty prodlužovat měsíc před expirací.
  5. Vygenerujte platné CSR. Údaje ve veřejném klíči by měly souhlasit s údaji v objednávce. Návody, jak CSR (veřejný klíč) vygenerovat pro různé servery, najdete například v tomto článku nápovědy. CSR musí mít bitovou hloubku alespoň 2048 bitů a musí obsahovat minimálně Common name (CN) a Country (například CZ).
  6. Nezkontrolování CSR. Veřejný klíč si před vložením do SSLmarketu zkontrolujte. Dekódovat ho můžete například v našem CSR nástroji pro kontrolu CSR. Pokud bude s vloženým CSR requestem něco v nepořádku, administrace SSLmarketu vás na to upozorní.
  7. Chraňte si privátní klíč. Privátní klíč je potřeba uchovat v soukromí, protože jím server rozšifruje komunikaci zašifrovanou veřejným klíčem v certifikátu. Pokud ho získá útočník, získá též možnost dešifrovat veškerou komunikaci, nebo podvodně použít váš certifikát. Privátní klíč nikdy neposílejte e-mailem.
  8. Neotestování certifikátu. Po instalaci nového certifikátu na server se přesvědčte, zdali funguje správně. Pro otestování "zvenku" může posloužit mnoho nástrojů, například nás Ověřovač SSL, nebo pokročilejší nástroj odborníků ze SSLLabs. Ten vám vyhodnotí i vhodnost povolených šifer a ohodnotí bezpečnost nasazení SSL certifikátu. Jedná se v podstatě o kompletní audit bezpečnosti SSL na vašem webu.
  9. Nekontaktování podpory, když je třeba. Pokud se cokoliv nedaří, máte u dobré certifikační autority či dobrého prodejce možnost obrátit se na zákaznickou podporu. Není to nic špatného a většina problémů se tak vyřeší mnohem rychleji a bez opotřebení vašich nervů. Zákaznickou podporu SSLmarket můžete kontaktovat telefonicky, přes e-mail a přes chat.
  10. Ztráta hesla nebo přihlašovacích údajů. Privátní klíče mohou být a měly by být chráněny heslem. Pokud ho ztratíte, nejste schopni znovu spustit váš webový server a jeho zabezpečení (typický problém u Apache). Pokud ztratíte přihlašovací údaje, nemůžete se přihlásit do administrace SSL certifikátů na SSLmarket.cz. V obou případech kontaktujte zákaznickou podporu, která vám buď certifikát zdarma vystaví znovu, nebo přepošle nové heslo do administrace SSLmarket. 

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz