SSL certifikát umožní, aby váš web mohl fungovat na protokolu https. Oproti klasickému http jde o šifrovaný přenos dat, což například zabrání tomu, aby někdo odposlechl údaje, které zadávají návštěvníci vašeho webu.
Takhle bude vypadat váš zabezpečený web v prohlížeči
Navíc Google už více než rok zvýhodňuje weby, které jsou na https. Takže je to lepší pro SEO vašeho webu.
Až doposud se za certifikáty platilo a navíc instalace certifikátu trvala delší dobu, protože proces nebyl automatický.
Před pár dny se však všechno změnilo, protože společnost Let’s Encrypt začala poskytovat certifikáty zdarma a umožňila jejich strojové zpracování.
Neváhali jsme a ihned jsme začali pracovat na tom, abychom je mohli nabídnout co nerychleji a nejjednodušeji našim klientům. A už je hotovo.
Každý nový hosting u nás tak dostane pro své domény zdarma SSL certifkát. Stávající klienti si jej samozřejmě mohou také aktivovat v Administraci.
Co je potřeba udělat, aby můj web běžel na https?
- Pokud ještě nemáte, aktivovat si SSL certifikát v Administraci (Moje domény -> zvolte doménu -> tlačítko Aktivovat certifikát)
- Přepnout webové stránky na https. Jak?
- Pokud máte WordPress, nainstalujte si plugin Really Simple SSL, který vám zapne celý WP na protokolu https (včetně adminu, obrázků a skirptů)
- Pokud máte svůj vlastní web, můžete přesměrování na https vynutit souborem
.htaccess. Vytvořte ho v rootu webu s následujícím obsahem (případně pokud ho už máte, doplňte tyto řádky na jeho začátek), nezapomeňte nahraditvasedomena.koncovkaza název vaší domény:RewriteEngine on RewriteCond %{HTTPS} offRewriteCond %{HTTP_USER_AGENT} !(BlackBerry)RewriteCond %{HTTP_HOST} ^(www\.)?vasedomena.koncovka RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
- Hotovo, máte zabezpečený web!
DOPLNĚNO:
Jaký certifikát instalujeme?
Jde o certifikát od certifikační autority Let’s Encrypt, za kterou stojí Internet Security Research Group (ISRG) a hlavními sponzory jsou EFF, Mozilla Foundation, Akamai a Cisco Systems. Další partneři projektu jsou: certifikační autorita IdenTrust, University of Michigan, Stanford Law School nebo třeba Linux Foundation (zdroj: root.cz).
POZOR! Certifikát nefunguje na zařízeních Blackberry
Jelikož nemůžeme ke každému certifikátu dát vlastní IPv4 adresu (ta se dnes cení přibližně na 50 Kč/měsíc), je certifikát poskytován metodou SNI. Tato metoda pak musí být podporována i v prohlížeči. Některé starší nebo velmi málo používané prohlížeče ji zatím však nepodporují, proto při použití certifikátu nebude web možné v těchto prohlížečích zobrazit. Jsou to napříkad prohlížeče na zařízeních Blackberry OS 10.
Tento certifikát není možné použít pro subdomény
Tento certifikát bohužel není možné použít pro subdomény. Je nastaven pouze na hlavní doménu s nebo bez www. Pokud byste chtěli mít všechny subdomény také na https, je potřeba již zakoupit tzv. wildcard certifikát, který je zatím placený a stojí 1990 Kč na rok včetně DPH.
10. Prosinec, 2015 at 15:40
A se kterými prohlížeči jsou certifikáty z tohoto projektu kompatibilní?
Opravdu je například nekompatibilní BlackBerry i v aktuální verzi operačního systému?
https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394
Bylo by seriozní na případné problémy upozornit.
11. Prosinec, 2015 at 16:11
Dobrý den pane Nachtmanne,
máte naprostou pravdu, v prohlížečích na WinXP nebo v prohlížeši Blackberry OS 10 zatím certifikáty nefungují. Nejen tyto zdarma, ale běžné placené používající metodu SNI.
Informaci jsme již doplnili do článku a bude uvedena i na našem webu, aby nikdo nemohl být uveden v omyl.
AKTUALIZACE 30. 3. 2016: Nyní již byla chyba v certifikátech opravena a ty fungují již i pod Windows XP.
3. Květen, 2016 at 22:48
k tem XP se zeptam, plati pro vsechny SP, nebo jen pro SP3?
11. Prosinec, 2015 at 00:26
Nevidím ten obrázek.
Pokud chce někdo používat najednou obě verze bez přesměrování, bylo by fajn přidat kanonický limk na preferovanou verzi.
11. Prosinec, 2015 at 08:21
To dáváte ke každému hostingu vlastní IPv4 adresu nebo to řešíte pomocí SNI (se kterým by to nefungovalo IE uživatelům s WinXP)?
11. Prosinec, 2015 at 10:59
Samozřejmě IPv4 adresu ke každému hostingu nedáváme. Vzhledem k jejich nedostatku to není možné. Řešíme to tedy pomocí SNI a ano, nefunguje to uživatelům některých starých IE na WinXP. Tuto informaci ještě pro naše zákazníky doplníme.
11. Prosinec, 2015 at 12:44
Jak je to se SSL u domén, které u vás mají jenom hosting, ale platím si je u registrátora a pouze na vás směruji DNSko?
11. Prosinec, 2015 at 15:20
I tam můžeš mít tento certifikát. Důležité je, aby certifikát byl na serveru, kam doména směruje.
11. Prosinec, 2015 at 18:18
Povedlo se na poprvé, děkuji 🙂
Jerry
15. Prosinec, 2015 at 18:10
Super, už se těším, až to bude na miniserveru! 🙂
28. Prosinec, 2015 at 16:08
Je to tam 🙂
15. Prosinec, 2015 at 20:59
Super zpráva. O WP se postaral plugin a funguje to! Díky moc 🙂
16. Prosinec, 2015 at 07:21
DObry den, jak je to v pripade, ze pouzivam Joomlu?
16. Prosinec, 2015 at 10:16
Joomlu jsme bohužel nezkoušeli, ale Google našel například tento návod: http://www.joomlart.com/tutorials/joomla-tutorials/how-to-use-ssl-in-a-joomla-site
16. Prosinec, 2015 at 14:16
Lze certifkát nastavit jen přímo pro konrétní subdoménu? Tedy http://www.mojedomena.cz pojede na http a admin.mojedomena.cz pojede na https?
17. Prosinec, 2015 at 09:22
Bohužel to možné není, pro subdoménu je možné mít pouze klasický certifikát za 590 Kč na rok.
5. Leden, 2016 at 09:16
Zrovna to googlím a co jsem pochopil, tak to u Let’s Encrypt nějak možné je – za předpokladu, že je při žádosti poskytnut výčet subdomén, pro které bude certifikát fungovat.
8. Leden, 2016 at 22:18
Ano je, nicméně my tuto funkci zatím nepodporujeme a asi an nebudeme vzhledem k obtížnému nastavování mezi Let’s Encrypt a klientem. Možné je jich nastavit pouze omezené množství.
3. Únor, 2016 at 18:45
To je docela škoda, zrovna na subdomény typu “admin.example.com” by se to hodilo :-/
Přitom by se certifikát nemusel ani vytvářet na všechny subdomény u domény. Stačilo by při aktivaci certifikátu vyzvat uživatele, aby uvedl seznam subdomén, které chce do certifikátu zahrnout. Pokud by to chtěl třeba v budoucnu změnit, opět by byl vyzván k uvedení seznamu subdomén a následně by došlo k zneplatnění aktivního certifikátu a vystavení a instalaci nového. To by bylo super.
17. Prosinec, 2015 at 13:24
Dobrý den,
děkuji za přehledný návod a vůbec informaci o této možnosti.
Vše funguje bez problémů.
Děkuji! JD
27. Prosinec, 2015 at 10:21
Dobry den, je mozne nasadit https (tedy upravit .htaccess) pouze v nekterych podadresarich, napr. http://www.neco.cz/admin/ nebo je mozne mit zabezpecenou pouze celou domenu (www.neco.cz/) s upravenym .htaccess v “korenovem” adresari domeny ? Dekuji ! Honza
27. Prosinec, 2015 at 11:59
Dobrý den,
ano, záleží, jak si .htaccess nastavíte. Když si námi uvedenou definici dáte pouze do určitého adresáře, bude fungovat pouze tam.
28. Prosinec, 2015 at 12:02
Mnohokrat dekuji za odpoved a preji klidny prechod do dalsiho roku 🙂
28. Prosinec, 2015 at 14:36
Temer vse zabralo napoprve (diky !),jen pokud mam Vasi “miniaplikaci” (guestbook) jako sekundarni frame (www.funjump.cz -> Forum), pak to nezafunguje a jedinou moznosti, na kterou jsem prisel, je otevreni v novem okne. Mate nejaky napad, co by se s tim dalo delat, aby zustala funkcionalita zachovana ? Dekuji ! Honza
28. Prosinec, 2015 at 16:09
Zkuste URL knihy změnit také na https a mělo by to fungovat.
29. Prosinec, 2015 at 07:32
Zabralo to, dekuju ! Stastny Novy Rok ! 🙂
8. Leden, 2016 at 22:09
Zafungovalo. Jenže ihned odezva od uživatelů, že jim https nefunguje z práce, kde mají omezený internet a https není běžně povolen. Museli by žádat o povolenní lokální admin a to se jim zas tak moc nechce.
Tak jsem .htaccess zase vrátil jak byl.
Načež jsem si všimnul, že když naťukám adresu včetně návěští https, tak to asi taky funguje. Je nějaké riziko, když oznámím uživatelům, že kdo má internet bez omezení, ať si volá https:// a jinak nechám jako standardní http:// ?
Taky jsem si všimnul, že obráceně to nejde jistě: Když je v .htaccess přesměrování, tak uživatel se k mému fóru asi nemá šanci dostat (pokud má ten omezený internet).
Jinak děkuji.
8. Leden, 2016 at 22:13
Dobrý den,
zdá se mi nepravděpodobné, že by někdo měl omezený přístup tak, že by se nedostal na stránky s https, protože na něm dnes už běží většina velký webů. Mimojiné seznam.cz, google.com apod. Lze očekávat, že do roka bude samozřejmost, že všechny stránky budou na https, tzn. takto k tomu nelze přistupovat.
Nedoporučuji mít web dostupný na obou verzích zároveň.
29. Únor, 2016 at 00:33
Ahoj, moc nechápu, proč nepodporujete subdomény. Na svém serveru LetsEnctypt používám a subdomény normálně jedou, není třeba nic extra nastavovat. V čem je problém?
29. Únor, 2016 at 16:33
Let’s Encrypt umožňuje s doménou 2. řádu přidat sice další subdomény (v současnosti myslím 100), ale to by bylo pro nás bohužel implementačně příliš náročné (musí se ověřovat každá subdoména, musí se řešit případné přepisy apod.), navíc certifikát nelze neomezeně přegenerovávat, takže by se musel stejně každý klient rozhodnout na začátku, jaké subdomény tam chce. A to je zase celkem složité pro UX a celkovou komunikaci.
Zatím jsme se tedy z těchto důvodů rozhodli nabídnout certifikát pouze pro hlavní doménu a subdoménu www.
12. Duben, 2016 at 19:50
Dobrý deň,
Postupoval som podľa vášho návodu a fungoval.
ALE po čase začalo vypisovať, že pripojenie webu nie je bezpečné.
Plugin fungoval, ale keď som upravil htaccess, písalo to, že príliš veľa presmerovaní.
13. Duben, 2016 at 07:28
Dobrý den, napište nám prosím na podporu o jakou doménu se jedná, zjistíme kde je problém.
29. Srpen, 2016 at 19:02
Dobrý den,
certifikát jsem aktivoval snadno dle vašeho návodu, děkuji.
U certifikátu mám po aktivaci jen tři měsíce do expirace, pak se certifikát sám prodlouží?
Děkuju.
Certifikát SSL Let’s Encrypt (expirace 29. 11. 2016)
30. Srpen, 2016 at 10:03
Dobrý den, ano certifikát se pak prodlužuje automaticky, nemusíte na nic myslet.