Keď zle nastavený certifikát odstaví celý web

5. 2. 2025 | Peter Tomaščík

SSL certifikáty sú dnes nevyhnutnou súčasťou bezpečnosti webových stránok. Napriek tomu sa stále stretávame s chybami pri ich implementácii, ktoré môžu spôsobiť úplnú nedostupnosť služieb. Nedávno sme narazili na takýto problém u virtuálneho operátora Radost.sk, ktorý pôsobí pod operátorom  O2

Chyba NET::ERR_CERT_COMMON_NAME_INVALID

Pri pokuse o prístup na web www.radost.sk sme narazili na chybu NET::ERR_CERT_COMMON_NAME_INVALID. To znamená, že certifikát na serveri neodpovedá doméne, na ktorú sa používateľ pokúša pripojiť.

Čo sa stalo?

V noci  streda 5. februára 2025 o 2:01:50 došlo k automatickej výmene SSL certifikátu vystaveného certifikačnou autoritou Let's Encrypt. Problém bol v tom, že nový certifikát bol vydaný iba pre doménu  radost.sk, avšak web je nastavený tak, že všetky požiadavky presmeruje  na www.radost.sk. Výsledkom je, že prehliadače odmietajú spojenie, pretože doména www.radost.sk nie je pokrytá platným certifikátom.

Ako sa takýmto problémom vyhnúť?

1. Správne nakonfigurovať SSL certifikát – Pri generovaní certifikátu je potrebné zahrnúť všetky používané varianty domény, teda radost.sk aj www.radost.sk.

2. Použiť SAN (Subject Alternative Name) – Moderné certifikáty umožňujú pridanie viacerých domén, čím sa predchádza podobným problémom.

3. Dôsledne testovať pred nasadením – Po výmene certifikátu je dôležité skontrolovať jeho funkčnosť a zabezpečiť, aby správne pokrýval všetky domény.

4. Použiť wildcard certifikát – Certifikát typu *.radost.sk by vyriešil tento problém a zabezpečil aj ďalšie subdomény.

Záver

Tento incident ukazuje, aké dôležité je správne nastavenie SSL certifikátov. Malá konfigurácia chyba môže viesť k tomu, že web prestane byť dostupný pre všetkých používateľov. Ak spravujete webové stránky, vždy si overte, že váš certifikát je platný pre všetky potrebné domény a subdomény.

---