Blueboard.cz nabízí SSL certifikáty pro všechny klienty zdarma

Jiří Zralý,

SSL certifikát umožní, aby váš web mohl fungovat na protokolu https. Oproti klasickému http jde o šifrovaný přenos dat, což například zabrání tomu, aby někdo odposlechl údaje, které zadávají návštěvníci vašeho webu.

 

Takhle bude vypadat váš zabezpečený web v prohlížeči

Takhle bude vypadat váš zabezpečený web v prohlížeči

 

Navíc Google už více než rok zvýhodňuje weby, které jsou na https. Takže je to lepší pro SEO vašeho webu.

Až doposud se za certifikáty platilo a navíc instalace certifikátu trvala delší dobu, protože proces nebyl automatický.

Před pár dny se však všechno změnilo, protože společnost Let’s Encrypt začala poskytovat certifikáty zdarma a umožňila jejich strojové zpracování.

Neváhali jsme a ihned jsme začali pracovat na tom, abychom je mohli nabídnout co nerychleji a nejjednodušeji našim klientům. A už je hotovo.

Každý nový hosting u nás tak dostane pro své domény zdarma SSL certifkát. Stávající klienti si jej samozřejmě mohou také aktivovat v Administraci.

Co je potřeba udělat, aby můj web běžel na https?

  1. Pokud ještě nemáte, aktivovat si SSL certifikát v Administraci (Moje domény -> zvolte doménu -> tlačítko Aktivovat certifikát)
  2. Přepnout webové stránky na https. Jak?
    1. Pokud máte WordPress, nainstalujte si plugin Really Simple SSL, který vám zapne celý WP na protokolu https (včetně adminu, obrázků a skirptů)
    2. Pokud máte svůj vlastní web, můžete přesměrování na https vynutit souborem .htaccess. Vytvořte ho v rootu webu s následujícím obsahem (případně pokud ho už máte, doplňte tyto řádky na jeho začátek), nezapomeňte nahradit vasedomena.koncovka za název vaší domény: 
      RewriteEngine on
RewriteCond %{HTTPS} off
RewriteCond %{HTTP_USER_AGENT} !(BlackBerry)
RewriteCond %{HTTP_HOST} ^(www\.)?vasedomena.koncovka 
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  3. Hotovo, máte zabezpečený web!

DOPLNĚNO:

Jaký certifikát instalujeme?

Jde o certifikát od certifikační autority Let’s Encrypt, za kterou stojí Internet Security Research Group (ISRG) a hlavními sponzory jsou EFF, Mozilla Foundation, Akamai a Cisco Systems. Další partneři projektu jsou: certifikační autorita IdenTrust, University of Michigan, Stanford Law School nebo třeba Linux Foundation (zdroj: root.cz).

POZOR! Certifikát nefunguje na zařízeních Blackberry

Jelikož nemůžeme ke každému certifikátu dát vlastní IPv4 adresu (ta se dnes cení přibližně na 50 Kč/měsíc), je certifikát poskytován metodou SNI. Tato metoda pak musí být podporována i v prohlížeči. Některé starší nebo velmi málo používané prohlížeče ji zatím však nepodporují, proto při použití certifikátu nebude web možné v těchto prohlížečích zobrazit. Jsou to napříkad prohlížeče na zařízeních Blackberry OS 10.

Tento certifikát není možné použít pro subdomény

Tento certifikát bohužel není možné použít pro subdomény. Je nastaven pouze na hlavní doménu s nebo bez www. Pokud byste chtěli mít všechny subdomény také na https, je potřeba již zakoupit tzv. wildcard certifikát, který je zatím placený a stojí 1990 Kč na rok včetně DPH.

Komentáře

  Comments: 34

  1. A se kterými prohlížeči jsou certifikáty z tohoto projektu kompatibilní?

    Opravdu je například nekompatibilní BlackBerry i v aktuální verzi operačního systému?

    https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394

    Bylo by seriozní na případné problémy upozornit.

    Odpovědět

    • Dobrý den pane Nachtmanne,

      máte naprostou pravdu, v prohlížečích na WinXP nebo v prohlížeši Blackberry OS 10 zatím certifikáty nefungují. Nejen tyto zdarma, ale běžné placené používající metodu SNI.

      Informaci jsme již doplnili do článku a bude uvedena i na našem webu, aby nikdo nemohl být uveden v omyl.

      AKTUALIZACE 30. 3. 2016: Nyní již byla chyba v certifikátech opravena a ty fungují již i pod Windows XP.

      Odpovědět

  2. Nevidím ten obrázek.

    Pokud chce někdo používat najednou obě verze bez přesměrování, bylo by fajn přidat kanonický limk na preferovanou verzi.

    Odpovědět

  3. To dáváte ke každému hostingu vlastní IPv4 adresu nebo to řešíte pomocí SNI (se kterým by to nefungovalo IE uživatelům s WinXP)?

    Odpovědět

    • Samozřejmě IPv4 adresu ke každému hostingu nedáváme. Vzhledem k jejich nedostatku to není možné. Řešíme to tedy pomocí SNI a ano, nefunguje to uživatelům některých starých IE na WinXP. Tuto informaci ještě pro naše zákazníky doplníme.

      Odpovědět

  4. Jak je to se SSL u domén, které u vás mají jenom hosting, ale platím si je u registrátora a pouze na vás směruji DNSko?

    Odpovědět

  5. Povedlo se na poprvé, děkuji 🙂
    Jerry

    Odpovědět

  6. Super, už se těším, až to bude na miniserveru! 🙂

    Odpovědět

  7. Ladislav Drábek

    15. Prosinec, 2015 at 20:59

    Super zpráva. O WP se postaral plugin a funguje to! Díky moc 🙂

    Odpovědět

  8. DObry den, jak je to v pripade, ze pouzivam Joomlu?

    Odpovědět

  9. Lze certifkát nastavit jen přímo pro konrétní subdoménu? Tedy http://www.mojedomena.cz pojede na http a admin.mojedomena.cz pojede na https?

    Odpovědět

    • Bohužel to možné není, pro subdoménu je možné mít pouze klasický certifikát za 590 Kč na rok.

      Odpovědět

      • Zrovna to googlím a co jsem pochopil, tak to u Let’s Encrypt nějak možné je – za předpokladu, že je při žádosti poskytnut výčet subdomén, pro které bude certifikát fungovat.

        Odpovědět

        • Jiří Zralý

          8. Leden, 2016 at 22:18

          Ano je, nicméně my tuto funkci zatím nepodporujeme a asi an nebudeme vzhledem k obtížnému nastavování mezi Let’s Encrypt a klientem. Možné je jich nastavit pouze omezené množství.

          Odpovědět

          • To je docela škoda, zrovna na subdomény typu “admin.example.com” by se to hodilo :-/

            Přitom by se certifikát nemusel ani vytvářet na všechny subdomény u domény. Stačilo by při aktivaci certifikátu vyzvat uživatele, aby uvedl seznam subdomén, které chce do certifikátu zahrnout. Pokud by to chtěl třeba v budoucnu změnit, opět by byl vyzván k uvedení seznamu subdomén a následně by došlo k zneplatnění aktivního certifikátu a vystavení a instalaci nového. To by bylo super.

  10. Dobrý den,

    děkuji za přehledný návod a vůbec informaci o této možnosti.
    Vše funguje bez problémů.

    Děkuji! JD

    Odpovědět

  11. Dobry den, je mozne nasadit https (tedy upravit .htaccess) pouze v nekterych podadresarich, napr. http://www.neco.cz/admin/ nebo je mozne mit zabezpecenou pouze celou domenu (www.neco.cz/) s upravenym .htaccess v “korenovem” adresari domeny ? Dekuji ! Honza

    Odpovědět

    • Dobrý den,

      ano, záleží, jak si .htaccess nastavíte. Když si námi uvedenou definici dáte pouze do určitého adresáře, bude fungovat pouze tam.

      Odpovědět

  12. Zafungovalo. Jenže ihned odezva od uživatelů, že jim https nefunguje z práce, kde mají omezený internet a https není běžně povolen. Museli by žádat o povolenní lokální admin a to se jim zas tak moc nechce.
    Tak jsem .htaccess zase vrátil jak byl.
    Načež jsem si všimnul, že když naťukám adresu včetně návěští https, tak to asi taky funguje. Je nějaké riziko, když oznámím uživatelům, že kdo má internet bez omezení, ať si volá https:// a jinak nechám jako standardní http:// ?
    Taky jsem si všimnul, že obráceně to nejde jistě: Když je v .htaccess přesměrování, tak uživatel se k mému fóru asi nemá šanci dostat (pokud má ten omezený internet).
    Jinak děkuji.

    Odpovědět

    • Jiří Zralý

      8. Leden, 2016 at 22:13

      Dobrý den,

      zdá se mi nepravděpodobné, že by někdo měl omezený přístup tak, že by se nedostal na stránky s https, protože na něm dnes už běží většina velký webů. Mimojiné seznam.cz, google.com apod. Lze očekávat, že do roka bude samozřejmost, že všechny stránky budou na https, tzn. takto k tomu nelze přistupovat.

      Nedoporučuji mít web dostupný na obou verzích zároveň.

      Odpovědět

  13. Jakub Bouček

    29. Únor, 2016 at 00:33

    Ahoj, moc nechápu, proč nepodporujete subdomény. Na svém serveru LetsEnctypt používám a subdomény normálně jedou, není třeba nic extra nastavovat. V čem je problém?

    Odpovědět

    • Jiří Zralý

      29. Únor, 2016 at 16:33

      Let’s Encrypt umožňuje s doménou 2. řádu přidat sice další subdomény (v současnosti myslím 100), ale to by bylo pro nás bohužel implementačně příliš náročné (musí se ověřovat každá subdoména, musí se řešit případné přepisy apod.), navíc certifikát nelze neomezeně přegenerovávat, takže by se musel stejně každý klient rozhodnout na začátku, jaké subdomény tam chce. A to je zase celkem složité pro UX a celkovou komunikaci.

      Zatím jsme se tedy z těchto důvodů rozhodli nabídnout certifikát pouze pro hlavní doménu a subdoménu www.

      Odpovědět

  14. Dobrý deň,
    Postupoval som podľa vášho návodu a fungoval.
    ALE po čase začalo vypisovať, že pripojenie webu nie je bezpečné.
    Plugin fungoval, ale keď som upravil htaccess, písalo to, že príliš veľa presmerovaní.

    Odpovědět

  15. Dobrý den,
    certifikát jsem aktivoval snadno dle vašeho návodu, děkuji.
    U certifikátu mám po aktivaci jen tři měsíce do expirace, pak se certifikát sám prodlouží?
    Děkuju.

    Certifikát SSL Let’s Encrypt (expirace 29. 11. 2016)

    Odpovědět

Komentáře