Domain Master

Související odkazy

• Zkrácený odkaz na tuto stránku
• Slovník pojmů

• Související dotazy

  • 109. Jakým způsobem se ověřují údaje žadatele o certifikát?
  • 110. Jaký je postup objednání SSL certifikátu u General Registry?
  • 111. Jaké certifikáty nabízíte?
  • 107. Jak vytvořit Certificate Signing Request (CSR)?

• Slovník pojmů

  CA – certifikační autorita

  je v asymetrické kryptografii subjekt, který vydává digitální certifikáty, což jsou elektronicky podepsané veřejné šifrovací klíče, které obsahují identifikační údaje svého majitele, za jejichž správnost se certifikační autorita zaručila.

  Certifikát

  Digitální certifikát je v asymetrické kryptografii digitálně podepsaný veřejný šifrovací klíč žadatele. Certifikát - podpis klíče - vydává certifikační autorita.

  CN - CommonName

  CommonName je nejdůležitější informační pole. CN může být např. emailová adresa - certifikát je pak vydán pro emailovou adresu nebo adresu domény - certifikát je pak vydán pro doménu. CN se musí shodovat s tím, na jaké doméně bude certifikát instalován. POZOR, www.domain.tld není to samé co admin.domain.tld!

  CSR

  Certificate Signing Request je datová zpráva generovaná na serveru nebo počítači žadatele. Zpráva obsahuje detailní žádost - veřejný šifrovací klíč, která se zasílá do certifikační autority. Na základě žádosti se pak generuje certifikát. CSR obsahuje nejdůležitější informaci a to CN. Zpráva má přesně definovaný formát dle specifikací.

  Soukromý klíč

  Zatímco certifikát obsahuje veřejný klíč, soukromý klíč musí být uchován na bezpečném místě. Je-li klíč prolomen nebo odcizen, může útočník snadno dešifrovat data určená původnímu majiteli klíče. Velikost klíče - udávaná v bitech - se doporučuje 1024 bitů a výše. Některé CA dokonce požadují, aby klíč byl od 2048 bitů. Čím větší velikost klíče, tím delší čas bude potřebovat počítač útočníka na prolomení šifry.

  SSL

  Secure Sockets Layer, SSL je protokol, resp. vrstva vložená mezi vrstvu transportní (např. TCP/IP) a aplikační (např. HTTP), která poskytuje zabezpečení komunikace šifrováním a autentizaci komunikujících stran.

  Další termíny...

• Pokud hledáte konkrétní dotaz a znáte jeho číslo, napište jej do následujícího políčka a klikněte na tlačítko.

  Hledat (required)

  Hledat

Časté dotazy → SSL certifikáty → dotaz číslo 108

Co je SSL certifikát?

Zjednodušeně řečeno, jsou certifikát, jeho veřejný klíč a certifikační autorita (CA) použity k vybudování vztahu důvěry mezi koncovým klientem a serverem a zároveň je toto vše použito k zabezpečení (zašifrování) přenášených dat po síti Internet.

Ustavení SSL spojení funguje na principu asymetrické šifry. Každá z komunikujících stran má dvojici šifrovacích klíčů - veřejný a soukromý. Veřejný klíč je nutné zveřejnit a zajistit jeho správné předání všem, kteří jej budou chtít použít. Pokud pomocí tohoto klíče kdokoliv zašifruje zprávu, je zajištěno, že ji bude moci rozšifrovat jen majitel použitého veřejného klíče odpovídajícím soukromým klíčem.

Ustavení SSL spojení pak vypadá takto:

1. Klient pošle serveru požadavek na SSL spojení, spolu s různými doplňujícími informacemi (verze SSL, nastavení šifrování atd.).
2. Server pošle klientovi odpověď na jeho požadavek, která obsahuje stejný typ informací a hlavně certifikát serveru.
3. Podle přijatého certifikátu si klient ověří autentičnost serveru. Certifikát také obsahuje veřejný klíč serveru.
4. Na základě dosud obdržených informací vygeneruje klient základ šifrovacího klíče, kterým se bude šifrovat následná komunikace. Ten zašifruje veřejným klíčem serveru a pošle mu ho.
5. Server použije svůj soukromý klíč k rozšifrování základu šifrovacího klíče. Z tohoto základu vygenerují jak server, tak klient hlavní šifrovací klíč.
6. Klient a server si navzájem potvrdí, že od té chvíle bude jejich komunikace šifrovaná tímto klíčem.
7. Je ustaveno zabezpečené spojení šifrované vygenerovaným šifrovacím klíčem.
8. Aplikace od té chvíle dál komunikují přes šifrované spojení. Například POST požadavek na server se do této doby neodešle.

Během první fáze ustanovení bezpečného spojení si klient a server dohodnou kryptografické algoritmy, které budou použity. V dnešní implementaci jsou následující volby:

• pro výměnu klíčů: RSA, Diffie-Hellman, DSA nebo Fortezza;
• pro symetrickou šifru: RC2, RC4, IDEA, DES, 3DES nebo AES;
• pro jednocestné hašovací funkce: MD5 nebo SHA.

Doplňující informace

• Adresy stránek zabezpečených pomocí SSL začínají https:// . Prohlížeč také zabezpečené stránky označuje ikonkou zámku ve stavové liště. Moderní prohlížeče zobrazují ikonku zámku rovněž v řádku adresy a podbarvují tuto řádku různými barvami - zelená pro plně vyhovující, žlutá nebo oranžová pro částečně vyhovující (např. vyhovující certifikát, ale vydaný pro jinou doménu), červená pro nevyhovující certifikát.
• Standardní port pro komunikaci přes HTTPS/SSL je 443, standardní port HTTP je 80. HTTPS/SSL dokáže zajistit důvěrnost dat jen na cestě od klienta k serveru (a naopak). Je na provozovateli serveru, jak potom s důvěrnými daty po rozšifrování naloží. Výjimkou není uložení v nešifrované podobě do nechráněné databáze.
• Protokol SSL má několik verzí. Doporučujeme používat vždy poslední verzi, aktuálně je to SSL 3.0. Starší verze byste měli používat jen v případě, že nemáte na výběr - například pokud Váš program novější verzi neumí. Můžete se také setkat se zkratkou TLS, což je protokol, který je následovníkem SSL. Mezi poslední verzí SSL (3.0) a TLS (1.0) jsou jen drobné rozdíly. Obecně lze říci, že princip TLS je stejný jako SSL.
• Certifikáty je nutné prodlužovat, neboť jejich platnost je omezená. Datum expirace je uloženo přímo v certifikátu a prohlédnout si jej můžete například v internetovém prohlížeči. Jakmile certifikátu platnost vyprší, je automaticky považován za neplatný.