Nebojte se SSL certifikátu na vašem serveru

16. 10. 2014 | Jindřich Zechmeister

V oblasti SSL certifikátů a šifrování panuje spousta mýtů, které odrazují provozovatele webu od nasazení SSL certifikátů a zvýšení bezpečnosti svých návštěvníků. Připravili jsme proto souhrn pověr, kterých se naši zákazníci obávají.

Nejčastější mýty o nasazení SSL certifikátů

V následujících bodech uvádím nejčastější mýty související s nasazením a použitím SSL certifikátů. Snad vám pomohou v získání objektivních informací.

SSL certifikát zpomalí web či server

Výkonnostní daň za nasazení SSL certifikátu na server je minimální. Ke složitějším výpočtům dochází pouze při ustavení šifrované komunikace, tzv. handshake. Při této fázi si prohlížeč se serverem domlouvá způsob šifrování, a pak jsou vygenerovány symetrické klíče, kterými se dále šifruje. Toto symetrické šifrování není náročné.

Moderní servery používající procesory Intel mají od roku 2010 hardwarovou akceleraci hlavních šifrovacích algoritmů, který jejich výpočet výrazně urychluje. Moderní prohlížeče umí navázat na předchozí šifrovanou komunikaci, a nezatěžují tak při každé návštěvě server generováním klíčů.

Lze tedy tvrdit, že nasazení SSL certifikátu na server ani nepoznáte, a zatížení se zvýší nepatrně (záleží samozřejmě na konkrétních projektech).

S certifikátem se doméně zhorší SEO hodnocení webu

Naopak, Google weby se SSL certifikáty ve výsledcích zvýhodňuje. Abych byl objektivní, je to ve skutečnosti malé zvýhodnění, ale je oficiálně potvrzené přímo vyhledávačem, který šifrování podporuje.

Více o prospěšnosti certifikátu na SEO webu najdete v článku Google zvýhodňuje weby se SSL certifikátem ve výsledcích vyhledávání. Oficiální oznámení Googlu o zvýhodňování webů s certifikátem je dostupné na blogu Online Security Blogu v článku

Nasazení certifikátu je složité a drahé

Není. Certifikát se nasadí na stávající server, a kromě instalace nejsou třeba žádné další úpravy. Dnes už díky SNI nepotřebujete samostatnou IP adresu pro každý certifikát. Samotný SSL certifikát pořídíte už od 349,- Kč za rok.

Návštěvníci se na váš web nedostanou

Nedostupnosti webu se není třeba obávat. I starší návštěvníci se starými prohlížeči se na váš web s certifikátem dostanou. Určitě se nejedná o důvod SSL certifikát nepoužívat.

Konflikty s kompatibilitou extrémně starých prohlížečů existují, ale jsou minoritní. Jedná se o možný konflikt SNI a Internet Exploreru na Windows XP (ostatní prohlížeče tím netrpí). V nejhorším případě hrozí záměna certifikátu, který klient obdrží, nikoliv nedostupnost webu. Více informací najdete v článku Metoda Server Name Indication - klady a zápory.

Druhým možným konfliktem je SHA-2 algoritmus v podpisu certifikátu. V příštích dvou letech musí dojít k vyměnění certifikátů s SHA-1 za novější, které mají podpis s SHA-2. To je zcela v pořádku, protože SHA-1 už není považováno za bezpečné. Prastarý systém Windows XP však SHA-2 podporuje až v Service Packu 3, takže pro starší verze bude takový podpis nedůvěryhodný, protože ho nedokáží ověřit. Kompatibilitu softwaru si můžete zkontrolovat v článku Kompatibilita softwaru s SHA-2 (SHA-256).

Web se bude zobrazovat špatně, nebudou fungovat obrázky

SSL certifikát nezpůsobí nefunkčnost některých prvků webu. Pokud se tak stane, mohou za to prohlížeče, které blokují tzv. smíšený obsah. Jedná se o prvky, které jsou na zabezpečenou stránku načteny nezabezpečeným protokolem HTTP.

Problematice smíšeného obsahu a jeho řešení se věnuje článek Smíšený obsah - rozbité stránky a bezpečnostní riziko.

Instalace certifikátu je složitá, nebo vyžaduje zásahy programátora

Naopak; instalace SSL certifikátu je pro zkušeného administrátora triviální úkon. Seriózní webhoster, například webhosting Czechia.com, vygeneruje CSR a certifikát nainstaluje zdarma. U levných webhosterů bez zákaznické podpory musí klíče vytvořit zákazník, a certifikát si na server sám vložit.

Na všech hlavních platformách se jedná o jednoduchý úkon, ke kterému existují návody.

Budu potřebovat IP adresu, což jsou další náklady navíc

IP adresa pro každý certifikát byla v minulosti vyžadována, ale dnes již nutností není. Vděčíme za to technologii SNI, díky které webové servery IP adresu pro každý certifikát nepotřebují, a poradí si i s více certifikáty na jedné adrese.

S rozšířením SNI jsou kompatibilní všechny moderní prohlížeče, problém má jen Explorer na Windows XP.

SSL certifikát na váš web patří

Google ukázal směr, kterým se bude internet ubírat. Každý web by měl mít svůj certifikát a vše na webu se bude přenášet šifrovaně. Weby s certifikáty umožňujícími silné šifrování budou zvýhodněny.

Google jako první vystavil červenou kartu spekulacím o nevhodnosti certifikátu na webu. Nevhodnost pro SEO byla zvlášť absurdním argumentem, se kterým jsem se setkal.

Konec nezabezpečených obchodů, přihlašovacích formulářů a hesel posílaných v plaintextu je nyní ve vašich rukou. Uděláte pomyslný krok pro bezpečnost vašich návštěvníků?


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz