Blueboard.cz nabízí SSL certifikáty pro všechny klienty zdarma

Jiří Zralý,

SSL certifikát umožní, aby váš web mohl fungovat na protokolu https. Oproti klasickému http jde o šifrovaný přenos dat, což například zabrání tomu, aby někdo odposlechl údaje, které zadávají návštěvníci vašeho webu.

 

Takhle bude vypadat váš zabezpečený web v prohlížeči

Takhle bude vypadat váš zabezpečený web v prohlížeči

 

Navíc Google už více než rok zvýhodňuje weby, které jsou na https. Takže je to lepší pro SEO vašeho webu.

Až doposud se za certifikáty platilo a navíc instalace certifikátu trvala delší dobu, protože proces nebyl automatický.

Před pár dny se však všechno změnilo, protože společnost Let’s Encrypt začala poskytovat certifikáty zdarma a umožňila jejich strojové zpracování.

Neváhali jsme a ihned jsme začali pracovat na tom, abychom je mohli nabídnout co nerychleji a nejjednodušeji našim klientům. A už je hotovo.

Každý nový hosting u nás tak dostane pro své domény zdarma SSL certifkát. Stávající klienti si jej samozřejmě mohou také aktivovat v Administraci.

Co je potřeba udělat, aby můj web běžel na https?

  1. Pokud ještě nemáte, aktivovat si SSL certifikát v Administraci (Moje domény -> zvolte doménu -> tlačítko Aktivovat certifikát)
  2. Přepnout webové stránky na https. Jak?
    1. Pokud máte WordPress, nainstalujte si plugin Really Simple SSL, který vám zapne celý WP na protokolu https (včetně adminu, obrázků a skirptů)
    2. Pokud máte svůj vlastní web, můžete přesměrování na https vynutit souborem .htaccess. Vytvořte ho v rootu webu s následujícím obsahem (případně pokud ho už máte, doplňte tyto řádky na jeho začátek), nezapomeňte nahradit vasedomena.koncovka za název vaší domény:
      RewriteEngine on
      RewriteCond %{HTTPS} off
      RewriteCond %{HTTP_USER_AGENT} !(BlackBerry)
      RewriteCond %{HTTP_HOST} ^(www\.)?vasedomena.koncovka 
      RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  3. Hotovo, máte zabezpečený web!

DOPLNĚNO:

Jaký certifikát instalujeme?

Jde o certifikát od certifikační autority Let’s Encrypt, za kterou stojí Internet Security Research Group (ISRG) a hlavními sponzory jsou EFF, Mozilla Foundation, Akamai a Cisco Systems. Další partneři projektu jsou: certifikační autorita IdenTrust, University of Michigan, Stanford Law School nebo třeba Linux Foundation (zdroj: root.cz).

POZOR! Certifikát nefunguje na zařízeních Blackberry

Jelikož nemůžeme ke každému certifikátu dát vlastní IPv4 adresu (ta se dnes cení přibližně na 50 Kč/měsíc), je certifikát poskytován metodou SNI. Tato metoda pak musí být podporována i v prohlížeči. Některé starší nebo velmi málo používané prohlížeče ji zatím však nepodporují, proto při použití certifikátu nebude web možné v těchto prohlížečích zobrazit. Jsou to napříkad prohlížeče na zařízeních Blackberry OS 10.

Tento certifikát není možné použít pro subdomény

Tento certifikát bohužel není možné použít pro subdomény. Je nastaven pouze na hlavní doménu s nebo bez www. Pokud byste chtěli mít všechny subdomény také na https, je potřeba již zakoupit tzv. wildcard certifikát, který je zatím placený a stojí 1990 Kč na rok včetně DPH.

Komentáře

  Comments: 34


  1. A se kterými prohlížeči jsou certifikáty z tohoto projektu kompatibilní?

    Opravdu je například nekompatibilní BlackBerry i v aktuální verzi operačního systému?

    https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394

    Bylo by seriozní na případné problémy upozornit.


    • Dobrý den pane Nachtmanne,

      máte naprostou pravdu, v prohlížečích na WinXP nebo v prohlížeši Blackberry OS 10 zatím certifikáty nefungují. Nejen tyto zdarma, ale běžné placené používající metodu SNI.

      Informaci jsme již doplnili do článku a bude uvedena i na našem webu, aby nikdo nemohl být uveden v omyl.

      AKTUALIZACE 30. 3. 2016: Nyní již byla chyba v certifikátech opravena a ty fungují již i pod Windows XP.


  2. Nevidím ten obrázek.

    Pokud chce někdo používat najednou obě verze bez přesměrování, bylo by fajn přidat kanonický limk na preferovanou verzi.


  3. To dáváte ke každému hostingu vlastní IPv4 adresu nebo to řešíte pomocí SNI (se kterým by to nefungovalo IE uživatelům s WinXP)?


    • Samozřejmě IPv4 adresu ke každému hostingu nedáváme. Vzhledem k jejich nedostatku to není možné. Řešíme to tedy pomocí SNI a ano, nefunguje to uživatelům některých starých IE na WinXP. Tuto informaci ještě pro naše zákazníky doplníme.


  4. Jak je to se SSL u domén, které u vás mají jenom hosting, ale platím si je u registrátora a pouze na vás směruji DNSko?


  5. Povedlo se na poprvé, děkuji 🙂
    Jerry


  6. Super, už se těším, až to bude na miniserveru! 🙂

  7. Ladislav Drábek


    Super zpráva. O WP se postaral plugin a funguje to! Díky moc 🙂


  8. DObry den, jak je to v pripade, ze pouzivam Joomlu?


  9. Lze certifkát nastavit jen přímo pro konrétní subdoménu? Tedy http://www.mojedomena.cz pojede na http a admin.mojedomena.cz pojede na https?


    • Bohužel to možné není, pro subdoménu je možné mít pouze klasický certifikát za 590 Kč na rok.


      • Zrovna to googlím a co jsem pochopil, tak to u Let’s Encrypt nějak možné je – za předpokladu, že je při žádosti poskytnut výčet subdomén, pro které bude certifikát fungovat.

        • Jiří Zralý


          Ano je, nicméně my tuto funkci zatím nepodporujeme a asi an nebudeme vzhledem k obtížnému nastavování mezi Let’s Encrypt a klientem. Možné je jich nastavit pouze omezené množství.


          • To je docela škoda, zrovna na subdomény typu “admin.example.com” by se to hodilo :-/

            Přitom by se certifikát nemusel ani vytvářet na všechny subdomény u domény. Stačilo by při aktivaci certifikátu vyzvat uživatele, aby uvedl seznam subdomén, které chce do certifikátu zahrnout. Pokud by to chtěl třeba v budoucnu změnit, opět by byl vyzván k uvedení seznamu subdomén a následně by došlo k zneplatnění aktivního certifikátu a vystavení a instalaci nového. To by bylo super.


  10. Dobrý den,

    děkuji za přehledný návod a vůbec informaci o této možnosti.
    Vše funguje bez problémů.

    Děkuji! JD


  11. Dobry den, je mozne nasadit https (tedy upravit .htaccess) pouze v nekterych podadresarich, napr. http://www.neco.cz/admin/ nebo je mozne mit zabezpecenou pouze celou domenu (www.neco.cz/) s upravenym .htaccess v “korenovem” adresari domeny ? Dekuji ! Honza


    • Dobrý den,

      ano, záleží, jak si .htaccess nastavíte. Když si námi uvedenou definici dáte pouze do určitého adresáře, bude fungovat pouze tam.


  12. Zafungovalo. Jenže ihned odezva od uživatelů, že jim https nefunguje z práce, kde mají omezený internet a https není běžně povolen. Museli by žádat o povolenní lokální admin a to se jim zas tak moc nechce.
    Tak jsem .htaccess zase vrátil jak byl.
    Načež jsem si všimnul, že když naťukám adresu včetně návěští https, tak to asi taky funguje. Je nějaké riziko, když oznámím uživatelům, že kdo má internet bez omezení, ať si volá https:// a jinak nechám jako standardní http:// ?
    Taky jsem si všimnul, že obráceně to nejde jistě: Když je v .htaccess přesměrování, tak uživatel se k mému fóru asi nemá šanci dostat (pokud má ten omezený internet).
    Jinak děkuji.

    • Jiří Zralý


      Dobrý den,

      zdá se mi nepravděpodobné, že by někdo měl omezený přístup tak, že by se nedostal na stránky s https, protože na něm dnes už běží většina velký webů. Mimojiné seznam.cz, google.com apod. Lze očekávat, že do roka bude samozřejmost, že všechny stránky budou na https, tzn. takto k tomu nelze přistupovat.

      Nedoporučuji mít web dostupný na obou verzích zároveň.

  13. Jakub Bouček


    Ahoj, moc nechápu, proč nepodporujete subdomény. Na svém serveru LetsEnctypt používám a subdomény normálně jedou, není třeba nic extra nastavovat. V čem je problém?

    • Jiří Zralý


      Let’s Encrypt umožňuje s doménou 2. řádu přidat sice další subdomény (v současnosti myslím 100), ale to by bylo pro nás bohužel implementačně příliš náročné (musí se ověřovat každá subdoména, musí se řešit případné přepisy apod.), navíc certifikát nelze neomezeně přegenerovávat, takže by se musel stejně každý klient rozhodnout na začátku, jaké subdomény tam chce. A to je zase celkem složité pro UX a celkovou komunikaci.

      Zatím jsme se tedy z těchto důvodů rozhodli nabídnout certifikát pouze pro hlavní doménu a subdoménu www.


  14. Dobrý deň,
    Postupoval som podľa vášho návodu a fungoval.
    ALE po čase začalo vypisovať, že pripojenie webu nie je bezpečné.
    Plugin fungoval, ale keď som upravil htaccess, písalo to, že príliš veľa presmerovaní.


  15. Dobrý den,
    certifikát jsem aktivoval snadno dle vašeho návodu, děkuji.
    U certifikátu mám po aktivaci jen tři měsíce do expirace, pak se certifikát sám prodlouží?
    Děkuju.

    Certifikát SSL Let’s Encrypt (expirace 29. 11. 2016)

Komentáře