Defaults.Exposed › Opravy › Zdraví TLS certifikátu

Jak opravit Zdraví TLS certifikátu

Váš SSL/TLS certifikát je digitální průkaz totožnosti, který návštěvníkovi dokazuje, že skutečně mluví s vaším webem — nikoli s podvodníkem — a zajišťuje zámek v prohlížeči. Tato kontrola zkoumá, zda je certifikát platný a důvěryhodný, zda brzy nevyprší a zda je postaven na silné, moderní kryptografii.

Výsledek pro vaše podnikání: Rozbitý nebo prošlý certifikát nahradí váš web plně obrazovkovým červeným varováním 'Vaše připojení není soukromé' v každém prohlížeči. Většina návštěvníků okamžitě odejde a nevrátí se — online prodej se zastaví, registrace se zastaví a připojení, které mělo být soukromé, může být tiše zachyceno.

Co vás to může stát

• Váš certifikát tiše vyprší přes víkend; v pondělí každý návštěvník narazí na varování na celé stránce, váš pokladní a kontaktní formuláře jsou mrtvé a každou hodinu, co trvá, než si toho všimnete a obnovíte, ztrácíte tržby.
• Zákazník platící přes WiFi v kavárně nebo hotelu dostane varování, že váš certifikát neodpovídá vaší doméně — předpokládá, že váš web je falešný nebo hacknutý, opustí nákup a řekne ostatním, že 'vypadal podezřele'.
• IT tým většího klienta provede předsmluvní bezpečnostní sken, uvidí self-signed nebo nedůvěryhodný certifikát a označí vás jako riziko — obchod se zastaví kvůli něčemu, co stojí nic opravit.
• Váš certifikát používá zastaralou metodu podepisování nebo slabý klíč; moderní prohlížeče začnou na něm zobrazovat varování a bezpečnostní audit vás hodnotí níže za kryptografii, která je roky mimo doporučený seznam.
• Přijímáte platby kartou a váš platební poskytovatel vás znovu audituje; slabý klíč nebo prošlý certifikát porušuje pravidla platební bezpečnosti a váš online pokladní je zmrazen, dokud to neopravíte.

Proč na tom záleží. Certifikát je jediným nejviditelnějším prvkem zabezpečení vašeho webu — když je zdravý, je neviditelný, a když se rozbije, stáhne celý váš web s děsivým varováním, které pohání zákazníky přímo ke konkurenci. Vypršení certifikátu je nejčastější příčinou neočekávaných výpadků webu a je zcela preventabilní. Získání platného certifikátu je zdarma a udržování zdraví je většinou věcí nechat jej automaticky obnovovat.

Co to je, prostými slovy

Když někdo navštíví váš web, musí se stát dvě věci, aby se cítil bezpečně při zadávání hesla nebo čísla karty. Za prvé, připojení musí být šifrováno, aby jej cizinci nemohli číst. Za druhé — a to je část, na kterou lidé zapomínají — prohlížeč návštěvníka musí být jist, že je na druhém konci skutečně váš web a ne podvodník, který nastavil přesvědčivou napodobeninu. Věcí, která dělá obě práce, je váš TLS certifikát (často nazývaný “SSL certifikát”).

Přemýšlejte o tom jako o průkazu totožnosti odolném proti padělání pro vaši doménu. Uznávaná autorita ho vydá, je opatřen razítkem s názvem vaší domény a datem vypršení a nese kryptografický klíč, který šifruje připojení. Když vše projde kontrolou, prohlížeč zobrazí zámek a váš web se normálně načte. Když je s průkazem totožnosti něco špatně, prohlížeč dělá opak ujišťování vašeho návštěvníka — hodí plnoobrazovkové varování, které říká v podstatě “tento web nemusí být bezpečný.”

Tato kontrola se dívá na zdraví tohoto průkazu ve čtyřech věcech, které jej každá nezávisle poruší:

• Je platný a důvěryhodný? — vydaný uznávanou autoritou, odpovídající vaší přesné doméně, ne self-signed a ne prošlý.
• Brzy vyprší? — protože certifikát, který propadne, stáhne celý váš web.
• Je podepsán silnou metodou? — staré podpisové algoritmy mohou být padělány.
• Je jeho klíč dostatečně silný? — slabý klíč může být v zásadě prolomen.

Dobrá zpráva předem: získání zdravého certifikátu je zdarma a udržování zdraví je většinou věcí nechat jej automaticky obnovovat, aby si to žádný člověk nemusel pamatovat.

Co vás to může stát

• Výpadek přes víkend. Certifikát tiše dosáhne data vypršení pozdě v pátek. Obnova, která měla proběhnout, neproběhla (server se přesunul, skript se rozbil, nikdo si nevšiml). Do sobotního rána každý návštěvník — a každý Google crawler — vidí plnoobrazovkové červené varování místo vaší domovské stránky. Váš obchod je zavřený a vy o tom ani nevíte. Technická oprava trvá minuty; ztracený víkend tržeb a zákazníci, kteří rozhodli, že jste “zavřeli obchod,” se nevrátí.

• Opuštěná platba. Zákazník nakupuje na svém telefonu přes hotelové WiFi. Váš certifikát přesně neodpovídá doméně, kterou napsal (řekněme pokrývá shop.yourbiz.com, ale ne holé yourbiz.com, které použil). Prohlížeč ho varuje, že web “může napodobovat” váš. Pro netechnického kupujícího to zní jako podvod — zavřou záložku a vy nikdy nevíte, že prodej existoval.

• Zastavená smlouva. Bezpečnostní tým většího zákazníka provede rutinní sken před podpisem. Vrátí se ukázávající self-signed nebo nedůvěryhodný certifikát na jedné z vašich subdomén. I když je vše ostatní v pořádku, tento jediný červený příznak promění rychlé schválení v diskuzi, která zpozdí obchod — kvůli problému, který stojí nic opravit.

• Pomalé varování. Váš certifikát je technicky platný, ale podepsaný SHA-1, starou metodou, kterou prohlížeče postupně ukončují. Po jedné aktualizaci prohlížeče část vašich návštěvníků začne vidět varování, která nemůžete reprodukovat na svém vlastním aktuálním počítači. Požadavky na podporu pomalu přicházejí s tvrzením, že web “vypadá rozbitý” a nemůžete přijít na to proč.

• Selhání compliance. Přijímáte platby kartou. Během re-auditu kontroly vašeho poskytovatele označí slabý klíč nebo certifikát, který propadl. Pravidla bezpečnosti karet vyžadují silné, aktuální šifrování — takže vaše online platby jsou pozastaveny, dokud certifikát znovu nevydáte, zmrazujíce příjmy v nejhorší možný moment.

Co to vlastně je (čtyři části)

Certifikát může být nezdravý čtyřmi různými způsoby a tato stránka pokrývá všechny z nich. Každý je samostatná kontrola pod kapotou, ale pro vás jsou všechny “je můj certifikát v pořádku?“

1. Platný a důvěryhodný

Toto je ta hlavní — a jediná část zdraví certifikátu, která je kontrolou kritické, nejvyšší váhy. Certifikát je “platný a důvěryhodný” pouze tehdy, jsou-li splněny všechny z těchto podmínek:

• Byl vydán uznávanou certifikační autoritou, které prohlížeče již důvěřují (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon a tak dále).
• Odpovídá přesné doméně, kterou návštěvník používá — včetně subdomén. Certifikát pro www.yourbiz.com, který také nepokrývá yourbiz.com, bude varovat na holé doméně.
• Je ne self-signed — tj. ne ten, který jste vydali sami sobě, který šifruje, ale nic nedokazuje o tom, kdo jste.
• Je aktuálně v rozsahu data — není prošlý a není (podivně, ale stává se to) datovaný tak, aby začal v budoucnosti.
• Jeho řetězec důvěry je nedotčen — autorita, která ho podepsala, je sama důvěryhodná, celou cestou nahoru.

Pokud selže cokoliv z toho, prohlížeče zobrazí obávanou stránku “Vaše připojení není soukromé” a tato kontrola tvrdě selže. Dobré vypadá takto: certifikát od uznávané autority, pokrývající každou doménu a subdoménu, které skutečně používáte, pohodlně uvnitř svých dat.

2. Brzy nevyprší

Každý certifikát má pevné datum konce. Bezplatné obvykle trvají 90 dní; placené často rok. Po datu důvěra okamžitě zmizí — není žádná toleranční lhůta. Tato kontrola měří, kolik dní zbývá a jak to interaguje s tím, kdo ho vydal:

• Pokud již vypršel nebo vyprší za méně než 7 dní, to je považováno za kritické — znamení, že obnovení selhalo.
• Pokud vyprší do 30 dní a není automaticky spravováno, to je varování k obnovení nyní.
• Pokud pochází od poskytovatele s automatickým obnovením (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL a podobní) s alespoň týdnem zbývajícím, projde — protože se očekává, že se obnoví sám před termínem.
• Dostatek prostoru (90+ dní nebo automaticky spravováno) je čistý průchod.

Dobré vypadá takto: automaticky spravovaný certifikát, který se obnovuje sám bez toho, aby se ho kdokoliv dotýkal. Jediný nejspolehlivější způsob, jak nikdy nemít výpadek z vypršení, je dát stroji, ne člověku, zodpovědnost za obnovení.

3. Silný podpisový algoritmus

Každý certifikát je “podepsán” kryptografickým algoritmem, který umožňuje prohlížečům detekovat neoprávněnou manipulaci. Staré algoritmy — MD5 a SHA-1 — se ukázaly být padělatelné, což znamená, že útočník by mohl v zásadě vytvořit falešný certifikát, který vypadá legitimně jako váš. Tato kontrola projde, když certifikát používá silný, moderní podpis: SHA-256 nebo silnější (SHA-384, SHA-512), moderní ECDSA nebo Ed25519/Ed448. MD5 a SHA-1 selhávají. Dobré vypadá takto: SHA-256 nebo lepší — což je výchozí nastavení na každém bezplatném a moderním certifikátu, takže je to zřídka problém na čemkoliv vydaném v posledních letech.

4. Silný klíč

Certifikát nese kryptografický klíč, který provádí skutečné šifrování. Pokud je tento klíč příliš krátký, moderní výpočetní výkon může — při dostatku zdrojů — ho prolomit, umožňujíce útočníkovi napodobit váš web nebo dešifrovat provoz. Přijímané minimální hodnoty jsou 2048bitové RSA nebo 256bitová eliptická křivka (EC). Tato kontrola projde při těchto velikostech nebo výše a selže níže. Dobré vypadá takto: 2048bitové (nebo 4096bitové) RSA nebo 256bitový EC klíč jako P-256 — opět výchozí nastavení na moderních bezplatných certifikátech.

Poznámka k posledním třem: platný-a-důvěryhodný je kritický, který pohání stránku s varováním. Síla podpisu a klíče jsou o budoucím zajištění a auditech — nedávný bezplatný certifikát téměř vždy projde automaticky, ale jsou to věci, které bezpečnostní revize zkontroluje, takže stojí za to je správně nastavit.

Jak to opravit (zdarma, ~15 minut)

Předejte tuto sekci tomu, kdo provozuje váš web nebo hosting — oprava je zdarma. Platný, silný, automaticky obnovovaný certifikát nestojí nic prostřednictvím Let’s Encrypt nebo jakéhokoliv moderního hostingu. Účtujeme pouze monitoring zdraví v čase, nikoli za opravu. Pokud nemáte IT pracovníka, níže uvedené poznámky k platformě dostanou většinu majitelů tam.

Krok 1 — Získejte (nebo nahraďte) certifikát bezplatným, důvěryhodným. Tento jediný krok opraví platnost, podpis i sílu klíče najednou, protože moderní bezplatné certifikáty ve výchozím nastavení používají SHA-256 a silné klíče.

• Cloudflare: v SSL/TLS → Přehled nastavte režim na Full (Strict). Cloudflare vydává a automaticky obnovuje důvěryhodný hranový certifikát za vás; ujistěte se, že váš původní server má také platný certifikát, aby “Strict” fungoval.
• Google Workspace / Microsoft 365 hosting nebo jakýkoliv cPanel host: hledejte SSL/TLS Status a spusťte AutoSSL. Automaticky zřizuje a obnovuje bezplatné certifikáty.
• Tvůrci webů (Squarespace, Wix, Shopify, moderní WordPress hosting): SSL je obvykle ve výchozím nastavení zapnutý — potvrďte, že je povoleno v nastavení vaší domény/zabezpečení a pokrývá jak yourbiz.com, tak www.yourbiz.com.
• Vlastní Linux server (Nginx/Apache): nainstalujte Let’s Encrypt s Certbotem — sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com (nebo --apache). Pro moderní EC klíč přidejte --key-type ecdsa. Uveďte každý název hostitele, který obsluhujete, s -d, aby certifikát odpovídal všem.

Krok 2 — Zpřístupněte obnovení automatickým, aby nikdy nevypršelo. Toto je krok, který zabraňuje scénáři výpadku přes víkend.

• Na Let’s Encrypt serveru potvrďte, že je aktivní časovač obnovení a otestujte ho: sudo certbot renew --dry-run. Certbot obvykle instaluje automatický časovač; pokud ne, přidejte denní cron úlohu: 0 3 * * * certbot renew --quiet.
• Na Cloudflare, cPanel AutoSSL a managed/site-builder hostech je obnovení za vás zajištěno — není co plánovat.

Krok 3 — Ujistěte se, že pokrývá správná jména. Nejčastější příčinou “platný, ale varování” je nesoulad jmen. Certifikát musí pokrývat každý název hostitele, který zákazníci skutečně používají — holou doménu, www a jakékoliv subdomény jako shop. nebo app.. Při generování certifikátu zahrňte každý z nich (zástupný znak jako *.yourbiz.com pokrývá všechny subdomény najednou).

Krok 4 — Pokud je označena pouze síla podpisu nebo klíče, prostě znovu vydejte. Nemusíte nic kupovat: vygenerujte nový certifikát (Krok 1) a nový bude automaticky používat SHA-256 a silný klíč. Na vlastním serveru můžete moderní klíč explicitně pinovat — např. openssl ecparam -genkey -name prime256v1 -out server.key pro EC nebo openssl genrsa -out server.key 4096 pro RSA — poté znovu vydejte.

Krok 5 — Ověřte, pak znovu zkontrolujte zde. Potvrďte data, vydavatele a klíč rychlým příkazem — echo | openssl s_client -servername yourbiz.com -connect yourbiz.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — poté znovu spusťte tuto kontrolu.

Běžné chyby

• Zacházení s “jednou jsme nainstalovali SSL” jako s hotovým. Certifikáty vypršejí na hodinách. Bez automatického obnovení otázka není zda propadne, ale kdy — obvykle v nejméně vhodný moment.
• Pokrytí www, ale ne holé domény (nebo naopak). Obě musí být na certifikátu nebo jedna z nich hodí varování o nesouladu jmen. Stejná past zachytí nové subdomény přidané later.
• Zanechání self-signed certifikátu na “testovací” subdoméně, která je skutečně veřejná. Šifruje, takže se cítí bezpečně — ale prohlížeče (a bezpečnostní skenery) ho považují za nedůvěryhodný a je to klasický příznak auditu.
• Předpoklad, že placené znamená bezpečnější. Bezplatný Let’s Encrypt certifikát je přesně tak důvěryhodný a šifrovaný jako drahý. Platit více neznamená silnější zámek.
• Obnovení certifikátu, ale zapomenutí reloadovat server. Nový certifikát ležící na disku nedělá nic, dokud webový server není znovu načten, aby ho použil — překvapivě běžná příčina “obnovil jsem, ale stále ukazuje prošlý.”
• Automatické obnovení, které tiše selhalo. Obnovovací úloha se může rozbít (přesunutý soubor, změna DNS, zablokovaný port) a stále “uspět” tiše. Sledování data vypršení — nikoli jen obnovovací úlohy — je to, co skutečně zachytí toto, než se to dotkne.

Časté dotazy