Blueboard.cz nabízí SSL certifikáty pro všechny klienty zdarma

By

SSL certifikát umožní, aby váš web mohl fungovat na protokolu https. Oproti klasickému http jde o šifrovaný přenos dat, což například zabrání tomu, aby někdo odposlechl údaje, které zadávají návštěvníci vašeho webu.

 

Takhle bude vypadat váš zabezpečený web v prohlížeči
Takhle bude vypadat váš zabezpečený web v prohlížeči

 

Navíc Google už více než rok zvýhodňuje weby, které jsou na https. Takže je to lepší pro SEO vašeho webu.

Až doposud se za certifikáty platilo a navíc instalace certifikátu trvala delší dobu, protože proces nebyl automatický.

Před pár dny se však všechno změnilo, protože společnost Let’s Encrypt začala poskytovat certifikáty zdarma a umožňila jejich strojové zpracování.

Neváhali jsme a ihned jsme začali pracovat na tom, abychom je mohli nabídnout co nerychleji a nejjednodušeji našim klientům. A už je hotovo.

Každý nový hosting u nás tak dostane pro své domény zdarma SSL certifkát. Stávající klienti si jej samozřejmě mohou také aktivovat v Administraci.

Co je potřeba udělat, aby můj web běžel na https?

  1. Pokud ještě nemáte, aktivovat si SSL certifikát v Administraci (Moje domény -> zvolte doménu -> tlačítko Aktivovat certifikát)
  2. Přepnout webové stránky na https. Jak?
    1. Pokud máte WordPress, nainstalujte si plugin Really Simple SSL, který vám zapne celý WP na protokolu https (včetně adminu, obrázků a skirptů)
    2. Pokud máte svůj vlastní web, můžete přesměrování na https vynutit souborem .htaccess. Vytvořte ho v rootu webu s následujícím obsahem (případně pokud ho už máte, doplňte tyto řádky na jeho začátek), nezapomeňte nahradit vasedomena.koncovka za název vaší domény:
      RewriteEngine on
      RewriteCond %{HTTPS} off
      RewriteCond %{HTTP_USER_AGENT} !(BlackBerry)
      RewriteCond %{HTTP_HOST} ^(www\.)?vasedomena.koncovka 
      RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  3. Hotovo, máte zabezpečený web!

DOPLNĚNO:

Jaký certifikát instalujeme?

Jde o certifikát od certifikační autority Let’s Encrypt, za kterou stojí Internet Security Research Group (ISRG) a hlavními sponzory jsou EFF, Mozilla Foundation, Akamai a Cisco Systems. Další partneři projektu jsou: certifikační autorita IdenTrust, University of Michigan, Stanford Law School nebo třeba Linux Foundation (zdroj: root.cz).

POZOR! Certifikát nefunguje na zařízeních Blackberry

Jelikož nemůžeme ke každému certifikátu dát vlastní IPv4 adresu (ta se dnes cení přibližně na 50 Kč/měsíc), je certifikát poskytován metodou SNI. Tato metoda pak musí být podporována i v prohlížeči. Některé starší nebo velmi málo používané prohlížeče ji zatím však nepodporují, proto při použití certifikátu nebude web možné v těchto prohlížečích zobrazit. Jsou to napříkad prohlížeče na zařízeních Blackberry OS 10.

Tento certifikát není možné použít pro subdomény

Tento certifikát bohužel není možné použít pro subdomény. Je nastaven pouze na hlavní doménu s nebo bez www. Pokud byste chtěli mít všechny subdomény také na https, je potřeba již zakoupit tzv. wildcard certifikát, který je zatím placený a stojí 1990 Kč na rok včetně DPH.


34 Responses to “Blueboard.cz nabízí SSL certifikáty pro všechny klienty zdarma”

  1. Petr Nachtmann

    A se kterými prohlížeči jsou certifikáty z tohoto projektu kompatibilní?

    Opravdu je například nekompatibilní BlackBerry i v aktuální verzi operačního systému?

    https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394

    Bylo by seriozní na případné problémy upozornit.

    Odpovědět
    • Jiří Zralý

      Dobrý den pane Nachtmanne,

      máte naprostou pravdu, v prohlížečích na WinXP nebo v prohlížeši Blackberry OS 10 zatím certifikáty nefungují. Nejen tyto zdarma, ale běžné placené používající metodu SNI.

      Informaci jsme již doplnili do článku a bude uvedena i na našem webu, aby nikdo nemohl být uveden v omyl.

      AKTUALIZACE 30. 3. 2016: Nyní již byla chyba v certifikátech opravena a ty fungují již i pod Windows XP.

      Odpovědět
  2. Yuhů

    Nevidím ten obrázek.

    Pokud chce někdo používat najednou obě verze bez přesměrování, bylo by fajn přidat kanonický limk na preferovanou verzi.

    Odpovědět
  3. Tom Hnatovsky

    To dáváte ke každému hostingu vlastní IPv4 adresu nebo to řešíte pomocí SNI (se kterým by to nefungovalo IE uživatelům s WinXP)?

    Odpovědět
    • Jiří Zralý

      Samozřejmě IPv4 adresu ke každému hostingu nedáváme. Vzhledem k jejich nedostatku to není možné. Řešíme to tedy pomocí SNI a ano, nefunguje to uživatelům některých starých IE na WinXP. Tuto informaci ještě pro naše zákazníky doplníme.

      Odpovědět
  4. Yuhů

    Jak je to se SSL u domén, které u vás mají jenom hosting, ale platím si je u registrátora a pouze na vás směruji DNSko?

    Odpovědět
    • Jiří Zralý

      I tam můžeš mít tento certifikát. Důležité je, aby certifikát byl na serveru, kam doména směruje.

      Odpovědět
  5. Jerry

    Povedlo se na poprvé, děkuji 🙂
    Jerry

    Odpovědět
  6. David Marek

    Super, už se těším, až to bude na miniserveru! 🙂

    Odpovědět
  7. Ladislav Drábek

    Super zpráva. O WP se postaral plugin a funguje to! Díky moc 🙂

    Odpovědět
  8. Radek

    DObry den, jak je to v pripade, ze pouzivam Joomlu?

    Odpovědět
  9. Jan Potůček

    Lze certifkát nastavit jen přímo pro konrétní subdoménu? Tedy http://www.mojedomena.cz pojede na http a admin.mojedomena.cz pojede na https?

    Odpovědět
    • Jiří Zralý

      Bohužel to možné není, pro subdoménu je možné mít pouze klasický certifikát za 590 Kč na rok.

      Odpovědět
      • mikiqex

        Zrovna to googlím a co jsem pochopil, tak to u Let’s Encrypt nějak možné je – za předpokladu, že je při žádosti poskytnut výčet subdomén, pro které bude certifikát fungovat.

        Odpovědět
        • Jiří Zralý

          Ano je, nicméně my tuto funkci zatím nepodporujeme a asi an nebudeme vzhledem k obtížnému nastavování mezi Let’s Encrypt a klientem. Možné je jich nastavit pouze omezené množství.

          Odpovědět
          • jannek19

            To je docela škoda, zrovna na subdomény typu “admin.example.com” by se to hodilo :-/

            Přitom by se certifikát nemusel ani vytvářet na všechny subdomény u domény. Stačilo by při aktivaci certifikátu vyzvat uživatele, aby uvedl seznam subdomén, které chce do certifikátu zahrnout. Pokud by to chtěl třeba v budoucnu změnit, opět by byl vyzván k uvedení seznamu subdomén a následně by došlo k zneplatnění aktivního certifikátu a vystavení a instalaci nového. To by bylo super.

  10. Jan Daněk

    Dobrý den,

    děkuji za přehledný návod a vůbec informaci o této možnosti.
    Vše funguje bez problémů.

    Děkuji! JD

    Odpovědět
  11. Honza Mayer

    Dobry den, je mozne nasadit https (tedy upravit .htaccess) pouze v nekterych podadresarich, napr. http://www.neco.cz/admin/ nebo je mozne mit zabezpecenou pouze celou domenu (www.neco.cz/) s upravenym .htaccess v “korenovem” adresari domeny ? Dekuji ! Honza

    Odpovědět
    • Jiří Zralý

      Dobrý den,

      ano, záleží, jak si .htaccess nastavíte. Když si námi uvedenou definici dáte pouze do určitého adresáře, bude fungovat pouze tam.

      Odpovědět
  12. Aleš Vacek

    Zafungovalo. Jenže ihned odezva od uživatelů, že jim https nefunguje z práce, kde mají omezený internet a https není běžně povolen. Museli by žádat o povolenní lokální admin a to se jim zas tak moc nechce.
    Tak jsem .htaccess zase vrátil jak byl.
    Načež jsem si všimnul, že když naťukám adresu včetně návěští https, tak to asi taky funguje. Je nějaké riziko, když oznámím uživatelům, že kdo má internet bez omezení, ať si volá https:// a jinak nechám jako standardní http:// ?
    Taky jsem si všimnul, že obráceně to nejde jistě: Když je v .htaccess přesměrování, tak uživatel se k mému fóru asi nemá šanci dostat (pokud má ten omezený internet).
    Jinak děkuji.

    Odpovědět
    • Jiří Zralý

      Dobrý den,

      zdá se mi nepravděpodobné, že by někdo měl omezený přístup tak, že by se nedostal na stránky s https, protože na něm dnes už běží většina velký webů. Mimojiné seznam.cz, google.com apod. Lze očekávat, že do roka bude samozřejmost, že všechny stránky budou na https, tzn. takto k tomu nelze přistupovat.

      Nedoporučuji mít web dostupný na obou verzích zároveň.

      Odpovědět
  13. Jakub Bouček

    Ahoj, moc nechápu, proč nepodporujete subdomény. Na svém serveru LetsEnctypt používám a subdomény normálně jedou, není třeba nic extra nastavovat. V čem je problém?

    Odpovědět
    • Jiří Zralý

      Let’s Encrypt umožňuje s doménou 2. řádu přidat sice další subdomény (v současnosti myslím 100), ale to by bylo pro nás bohužel implementačně příliš náročné (musí se ověřovat každá subdoména, musí se řešit případné přepisy apod.), navíc certifikát nelze neomezeně přegenerovávat, takže by se musel stejně každý klient rozhodnout na začátku, jaké subdomény tam chce. A to je zase celkem složité pro UX a celkovou komunikaci.

      Zatím jsme se tedy z těchto důvodů rozhodli nabídnout certifikát pouze pro hlavní doménu a subdoménu www.

      Odpovědět
  14. Matúš

    Dobrý deň,
    Postupoval som podľa vášho návodu a fungoval.
    ALE po čase začalo vypisovať, že pripojenie webu nie je bezpečné.
    Plugin fungoval, ale keď som upravil htaccess, písalo to, že príliš veľa presmerovaní.

    Odpovědět
    • Jiří Zralý

      Dobrý den, napište nám prosím na podporu o jakou doménu se jedná, zjistíme kde je problém.

      Odpovědět
  15. Franta

    Dobrý den,
    certifikát jsem aktivoval snadno dle vašeho návodu, děkuji.
    U certifikátu mám po aktivaci jen tři měsíce do expirace, pak se certifikát sám prodlouží?
    Děkuju.

    Certifikát SSL Let’s Encrypt (expirace 29. 11. 2016)

    Odpovědět

Leave a Reply