Defaults.Exposed › Opravy › Zdravie TLS certifikátu

Ako opraviť Zdravie TLS certifikátu

Váš SSL/TLS certifikát je digitálny preukaz totožnosti, ktorý dokazuje návštevníkovi, že skutočne hovorí s vaším webom — nie s podvodníkom — a napája zámok v prehliadači. Táto kontrola sa zaoberá tým, či je certifikát platný a dôveryhodný, či čoskoro nevyprší a či je postavený na silnej, modernej kryptografii.

Podstata pre vaše podnikanie: Nefunkčný alebo vypršaný certifikát nahradí váš web celostránkovým červeným upozornením 'Vaše pripojenie nie je súkromné' v každom prehliadači. Väčšina návštevníkov okamžite odíde a nevráti sa — online predaj sa zastaví, registrácie sa zastavia a pripojenie, ktoré malo byť súkromné, môže byť ticho odpočúvané.

Čo vás to môže stáť

• Váš certifikát ticho vyprší cez víkend; v pondelok každý návštevník narazí na celostránkové bezpečnostné upozornenie, váš pokladňový a kontaktný formulár nefunguje a prichádzate o predaj za každú hodinu, kým si to nevšimnete.
• Zákazník platíci cez WiFi v kaviarni alebo hoteli dostane upozornenie, že váš certifikát nezodpovedá vašej doméne — predpokladá, že váš web je falošný alebo hacknutý, opustí nákup a iným hovorí, že to 'vyzeralo pochybne'.
• IT tím väčšieho klienta spustí bezpečnostnú kontrolu pred uzatvorením zmluvy, vidí samopodpísaný alebo nedôveryhodný certifikát a označí vás ako riziko — obchod viazne kvôli niečomu, čo opravíte zadarmo.
• Váš certifikát používa zastaranú podpisovaciu metódu alebo slabý kľúč; moderné prehliadače začnú na ňom zobrazovať upozornenia a bezpečnostná kontrola vás hodnotí zle za kryptografiu, ktorá je roky mimo zoznamu odporúčaní.
• Príjmate platby kartou a váš platobný poskytovateľ vás znova audituje; slabý kľúč alebo vypršaný certifikát porušuje pravidlá platobnej bezpečnosti a váš online pokladňový systém je zmrazený, kým sa to neopraví.

Prečo na tom záleží. Certifikát je najviditeľnejším kusom bezpečnosti vašej webovej stránky — keď je zdravý, je neviditeľný, a keď sa pokazí, celú vašu stránku pohltí hrozivým upozornením, ktoré zákazníkov posiela priamo ku konkurentom. Vypršanie certifikátu je príčinou č. 1 neočakávaných výpadkov webov a je úplne predchádzateľné. Získanie platného certifikátu je zadarmo a udržiavanie jeho zdravia je väčšinou záležitosťou automatického obnovenia.

Čo to je, v jednoduchých slovách

Keď niekto navštívi váš web, dve veci sa musia stať, aby sa cítil bezpečne pri zadávaní hesla alebo čísla karty. Po prvé, pripojenie musí byť šifrované, aby ho cudzinci nemohli čítať. Po druhé — a to ľudia zabudajú — prehliadač návštevníka musí mať istotu, že je skutočne na vašom webe, nie na podvodníkovi, ktorý postavil presvedčivé kópie. Zariadenie, ktoré vykonáva obe práce, je váš TLS certifikát (často nazývaný “SSL certifikát”).

Predstavte si ho ako nefaľsovateľný preukaz totožnosti pre vašu doménu. Uznávaný orgán ho vydáva, je opečiatkovaný vaším doménovým menom a dátumom skončenia platnosti a nesie kryptografický kľúč, ktorý kóduje pripojenie. Keď všetko zodpovedá, prehliadač zobrazí zámok a váš web sa normálne načíta. Keď je niečo s preukazom totožnosti nesprávne, prehliadač urobí opak uistenia vášho návštevníka — hodí celostránkové upozornenie, ktoré v podstate hovorí “táto stránka nemusí byť bezpečná.”

Táto kontrola skúma zdravie tohto preukazu v štyroch veciach, ktoré ho každá nezávisle rušia:

• Je platný a dôveryhodný? — vydaný uznávaným orgánom, zodpovedajúci vašej presnej doméne, nie samopodpísaný a nie vypršaný.
• Čoskoro vyprší? — pretože certifikát, ktorý zanikne, zhodí celú vašu stránku.
• Je podpísaný silnou metódou? — staré podpisovacie algoritmy môžu byť sfalšované.
• Je jeho kľúč dostatočne silný? — slabý kľúč môže byť v princípe prelomený.

Dobrá správa vopred: získanie zdravého certifikátu je zadarmo a udržiavanie jeho zdravia je väčšinou o tom, nechať ho obnovovať sa automaticky, aby si to žiadny človek nemusel pamätať.

Čo vás to môže stáť

• Výpadok cez víkend. Certifikát ticho dosiahne dátum skončenia platnosti neskoro v piatok. Obnova, ktorá sa mala spustiť, to neurobila (server sa presunul, skript sa rozbil, nikto si to nevšimol). V sobotu ráno každý návštevník — a každý Google crawler — vidí celostránkové červené upozornenie namiesto vašej domovskej stránky. Váš obchod je zatvorený a vy to ani neviete.

• Opustený pokladňový systém. Zákazník nakupuje cez telefón na WiFi v hoteli. Váš certifikát úplne nezodpovedá doméne, ktorú napísal (povedzme, pokrýva shop.vasafirma.com, ale nie holé vasafirma.com, ktoré použil). Prehliadač ho upozorní, že stránka “môže sa vydávať” za vašu. Pre netechnického kupujúceho to znie ako podvod — zatvorí záložku a vy nikdy neviete, že predaj existoval.

• Zastavená zmluva. Bezpečnostný tím väčšieho potenciálneho zákazníka spustí rutinnú kontrolu pred podpisom. Vráti sa zobrazujúc samopodpísaný alebo nedôveryhodný certifikát na jednej z vašich subdomén. Aj keď je všetko ostatné v poriadku, tá jedna červená vlajka premení rýchle schválenie na diskusiu, ktorá oneskorí obchod.

• Pomalé upozornenie. Váš certifikát je technicky platný, ale podpísaný SHA-1, starou metódou, ktorú prehliadače postupne vyraďujú. Po aktualizácii jedného prehliadača časť vašich návštevníkov začne vidieť upozornenia, ktoré neviete reprodukovať na svojom vlastnom aktuálnom zariadení.

• Zlyhanie zhody. Príjmate platby kartou. Počas opätovného auditu kontroly vášho poskytovateľa označia slabý kľúč alebo certifikát, ktorý zanikol. Pravidlá bezpečnosti platobných kariet vyžadujú silné, aktuálne šifrovanie — takže vaše online platby sú pozastavené.

Čo to v skutočnosti je (štyri časti)

1. Platný a dôveryhodný

Toto je hlavná vec — a jediná časť zdravia certifikátu, ktorá je kritická, s maximálnou váhou. Certifikát je “platný a dôveryhodný” len vtedy, keď sú všetky tieto veci pravdivé:

• Vydaný uznávaným certifikačným orgánom, ktorému prehliadače už dôverujú (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon atď.).
• Zodpovedá presnej doméne, ktorú návštevník používa — vrátane subdomén.
• Nie je samopodpísaný — t. j. nie taký, ktorý ste vydali sami sebe.
• Je v súčasnosti v rámci dátumového okna — nie vypršaný a nie (nezvyčajne, ale stáva sa) datovaný na začiatok v budúcnosti.
• Jeho reťazec dôvery je neporušený — orgán, ktorý ho podpísal, je sám dôveryhodný, až po koreň.

Ak niečo z toho zlyhá, prehliadače zobrazia dreafné “Vaše pripojenie nie je súkromné” stránku a táto kontrola tvrdo zlyhá.

2. Čoskoro nevyprší

Každý certifikát má pevný dátum ukončenia. Bezplatné trvajú zvyčajne 90 dní; platené często rok. Po dátume dôvera okamžite zmizne — neexistuje žiadna lehota. Táto kontrola meria, koľko dní zostáva a ako to interaguje s kto ho vydal:

• Ak je už vypršaný alebo vyprší do 7 dní, to sa považuje za kritické.
• Ak vyprší do 30 dní a nie je automaticky spravovaný, to je varovanie na okamžitú obnovu.
• Ak pochádza od automaticky obnovujúceho sa poskytovateľa (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL) s aspoň týždňom zvyšku, prechádza — pretože sa očakáva, že sa obnoví sám.
• Veľa priestoru (90+ dní alebo automaticky spravovaný) je čistý priechod.

Ako vyzerá ‘dobré’ nastavenie: automaticky spravovaný certifikát, ktorý sa obnovuje sám bez toho, aby sa ho ktokoľvek dotýkal.

3. Silný podpisovací algoritmus

Každý certifikát je “podpísaný” pomocou kryptografického algoritmu, ktorý umožňuje prehliadačom detekovať falšovanie. Staré algoritmy — MD5 a SHA-1 — boli preukázaní sfalšovateľnými. Táto kontrola prechádza, keď certifikát používa silný, moderný podpis: SHA-256 alebo silnejší (SHA-384, SHA-512), moderný ECDSA alebo Ed25519/Ed448. MD5 a SHA-1 zlyhávajú.

4. Silný kľúč

Certifikát nesie kryptografický kľúč, ktorý robí skutočné kódovanie. Ak je príliš krátky, moderná výpočtová sila ho môže — vzhľadom na dostatok zdrojov — prelomiť. Akceptované minimá sú 2048-bitový RSA alebo 256-bitová eliptická krivka (EC). Táto kontrola prechádza pri týchto veľkostiach alebo vyšších.

Ako to opraviť (zadarmo, ~15 minút)

Odovzdajte túto sekciu tomu, kto spravuje váš web alebo hosting — oprava je zadarmo. Platný, silný, automaticky obnovujúci sa certifikát nestojí nič cez Let’s Encrypt alebo akéhokoľvek moderného hostiteľa.

Krok 1 — Získajte (alebo nahradte) certifikát bezplatným, dôveryhodným. Tento jediný krok súčasne opravuje platnosť, podpis a silu kľúča, pretože moderné bezplatné certifikáty predvolene používajú SHA-256 a silné kľúče.

• Cloudflare: v SSL/TLS → Prehľad nastavte režim na Full (Strict). Cloudflare vydáva a automaticky obnovuje dôveryhodný certifikát okraja za vás.
• cPanel hostiteľ: vyhľadajte Stav SSL/TLS a spustite AutoSSL.
• Stavitelia stránok (Squarespace, Wix, Shopify): SSL je zvyčajne predvolene zapnutý — potvrďte v nastaveniach domény/bezpečnosti.
• Váš vlastný Linux server (Nginx/Apache): nainštalujte Let’s Encrypt s Certbotom — sudo certbot --nginx -d vasafirma.com -d www.vasafirma.com. Pre moderný EC kľúč pridajte --key-type ecdsa.

Krok 2 — Automatizujte obnovu. Na serveri Let’s Encrypt potvrďte, že je aktívny časovač obnovy a otestujte ho: sudo certbot renew --dry-run.

Krok 3 — Uistite sa, že pokrýva správne mená. Certifikát musí pokryť každý názov hostiteľa, ktorý zákazníci skutočne používajú — holú doménu, www a akékoľvek subdomény.

Krok 4 — Ak je označený len podpis alebo sila kľúča, jednoducho znovu vydajte. Vygenerujte nový certifikát (Krok 1) a nový automaticky bude používať SHA-256 a silný kľúč.

Bežné chyby

• Zaobchádzanie s “raz sme nainštalovali SSL” ako s hotovým. Certifikáty vypršavajú. Bez automatickej obnovy otázka nie je či zanikne, ale kedy.
• Pokrytie www, ale nie holej domény (alebo naopak). Obidve musia byť na certifikáte alebo jedno z nich hodí upozornenie o nezhode mena.
• Nechanie samopodpísaného certifikátu na ‘testovacej’ subdoméne, ktorá je skutočne verejná. Šifruje, takže sa zdá bezpečný — ale prehliadače (a bezpečnostné skenery) ho považujú za nedôveryhodný.
• Predpokladanie, že platený je bezpečnejší. Bezplatný certifikát Let’s Encrypt je rovnako dôveryhodný a šifrovaný ako drahý.
• Obnova certifikátu, ale zabudnutie na opätovné načítanie servera. Nový certifikát ležiaci na disku nič nerobí, kým webový server nie je opätovne načítaný na jeho prevzatie.
• Automatická obnova, ktorá ticho zlyhala. Obnovovacia úloha sa môže rozbiť a stále ticho “úspešne” prebiehať. Sledovanie dátumu skončenia platnosti — nie len obnovovacej úlohy — je to, čo skutočne zachytí toto pred tým, než vás zahryzne.

FAQ