Blueboard.cz nabízí SSL certifikáty pro všechny klienty zdarma

SSL certifikát umožní, aby váš web mohl fungovat na protokolu https. Oproti klasickému http jde o šifrovaný přenos dat, což například zabrání tomu, aby někdo odposlechl údaje, které zadávají návštěvníci vašeho webu.

 

Takhle bude vypadat váš zabezpečený web v prohlížeči
Takhle bude vypadat váš zabezpečený web v prohlížeči

 

Navíc Google už více než rok zvýhodňuje weby, které jsou na https. Takže je to lepší pro SEO vašeho webu.

Až doposud se za certifikáty platilo a navíc instalace certifikátu trvala delší dobu, protože proces nebyl automatický.

Před pár dny se však všechno změnilo, protože společnost Let’s Encrypt začala poskytovat certifikáty zdarma a umožňila jejich strojové zpracování.

Neváhali jsme a ihned jsme začali pracovat na tom, abychom je mohli nabídnout co nerychleji a nejjednodušeji našim klientům. A už je hotovo.

Každý nový hosting u nás tak dostane pro své domény zdarma SSL certifkát. Stávající klienti si jej samozřejmě mohou také aktivovat v Administraci.

Co je potřeba udělat, aby můj web běžel na https?

  1. Pokud ještě nemáte, aktivovat si SSL certifikát v Administraci (Moje domény -> zvolte doménu -> tlačítko Aktivovat certifikát)
  2. Přepnout webové stránky na https. Jak?
    1. Pokud máte WordPress, nainstalujte si plugin Really Simple SSL, který vám zapne celý WP na protokolu https (včetně adminu, obrázků a skirptů)
    2. Pokud máte svůj vlastní web, můžete přesměrování na https vynutit souborem .htaccess. Vytvořte ho v rootu webu s následujícím obsahem (případně pokud ho už máte, doplňte tyto řádky na jeho začátek), nezapomeňte nahradit vasedomena.koncovka za název vaší domény:
      RewriteEngine on
      RewriteCond %{HTTPS} off
      RewriteCond %{HTTP_USER_AGENT} !(BlackBerry)
      RewriteCond %{HTTP_HOST} ^(www\.)?vasedomena.koncovka 
      RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  3. Hotovo, máte zabezpečený web!

DOPLNĚNO:

Jaký certifikát instalujeme?

Jde o certifikát od certifikační autority Let’s Encrypt, za kterou stojí Internet Security Research Group (ISRG) a hlavními sponzory jsou EFF, Mozilla Foundation, Akamai a Cisco Systems. Další partneři projektu jsou: certifikační autorita IdenTrust, University of Michigan, Stanford Law School nebo třeba Linux Foundation (zdroj: root.cz).

POZOR! Certifikát nefunguje na zařízeních Blackberry

Jelikož nemůžeme ke každému certifikátu dát vlastní IPv4 adresu (ta se dnes cení přibližně na 50 Kč/měsíc), je certifikát poskytován metodou SNI. Tato metoda pak musí být podporována i v prohlížeči. Některé starší nebo velmi málo používané prohlížeče ji zatím však nepodporují, proto při použití certifikátu nebude web možné v těchto prohlížečích zobrazit. Jsou to napříkad prohlížeče na zařízeních Blackberry OS 10.

Tento certifikát není možné použít pro subdomény

Tento certifikát bohužel není možné použít pro subdomény. Je nastaven pouze na hlavní doménu s nebo bez www. Pokud byste chtěli mít všechny subdomény také na https, je potřeba již zakoupit tzv. wildcard certifikát, který je zatím placený a stojí 1990 Kč na rok včetně DPH.

34 názorů na “Blueboard.cz nabízí SSL certifikáty pro všechny klienty zdarma”

    1. Dobrý den pane Nachtmanne,

      máte naprostou pravdu, v prohlížečích na WinXP nebo v prohlížeši Blackberry OS 10 zatím certifikáty nefungují. Nejen tyto zdarma, ale běžné placené používající metodu SNI.

      Informaci jsme již doplnili do článku a bude uvedena i na našem webu, aby nikdo nemohl být uveden v omyl.

      AKTUALIZACE 30. 3. 2016: Nyní již byla chyba v certifikátech opravena a ty fungují již i pod Windows XP.

  1. Nevidím ten obrázek.

    Pokud chce někdo používat najednou obě verze bez přesměrování, bylo by fajn přidat kanonický limk na preferovanou verzi.

  2. To dáváte ke každému hostingu vlastní IPv4 adresu nebo to řešíte pomocí SNI (se kterým by to nefungovalo IE uživatelům s WinXP)?

    1. Samozřejmě IPv4 adresu ke každému hostingu nedáváme. Vzhledem k jejich nedostatku to není možné. Řešíme to tedy pomocí SNI a ano, nefunguje to uživatelům některých starých IE na WinXP. Tuto informaci ještě pro naše zákazníky doplníme.

      1. Zrovna to googlím a co jsem pochopil, tak to u Let’s Encrypt nějak možné je – za předpokladu, že je při žádosti poskytnut výčet subdomén, pro které bude certifikát fungovat.

        1. Jiří Zralý

          Ano je, nicméně my tuto funkci zatím nepodporujeme a asi an nebudeme vzhledem k obtížnému nastavování mezi Let’s Encrypt a klientem. Možné je jich nastavit pouze omezené množství.

          1. To je docela škoda, zrovna na subdomény typu „admin.example.com“ by se to hodilo :-/

            Přitom by se certifikát nemusel ani vytvářet na všechny subdomény u domény. Stačilo by při aktivaci certifikátu vyzvat uživatele, aby uvedl seznam subdomén, které chce do certifikátu zahrnout. Pokud by to chtěl třeba v budoucnu změnit, opět by byl vyzván k uvedení seznamu subdomén a následně by došlo k zneplatnění aktivního certifikátu a vystavení a instalaci nového. To by bylo super.

  3. Dobrý den,

    děkuji za přehledný návod a vůbec informaci o této možnosti.
    Vše funguje bez problémů.

    Děkuji! JD

    1. Dobrý den,

      ano, záleží, jak si .htaccess nastavíte. Když si námi uvedenou definici dáte pouze do určitého adresáře, bude fungovat pouze tam.

      1. Temer vse zabralo napoprve (diky !),jen pokud mam Vasi „miniaplikaci“ (guestbook) jako sekundarni frame (www.funjump.cz -> Forum), pak to nezafunguje a jedinou moznosti, na kterou jsem prisel, je otevreni v novem okne. Mate nejaky napad, co by se s tim dalo delat, aby zustala funkcionalita zachovana ? Dekuji ! Honza

  4. Zafungovalo. Jenže ihned odezva od uživatelů, že jim https nefunguje z práce, kde mají omezený internet a https není běžně povolen. Museli by žádat o povolenní lokální admin a to se jim zas tak moc nechce.
    Tak jsem .htaccess zase vrátil jak byl.
    Načež jsem si všimnul, že když naťukám adresu včetně návěští https, tak to asi taky funguje. Je nějaké riziko, když oznámím uživatelům, že kdo má internet bez omezení, ať si volá https:// a jinak nechám jako standardní http:// ?
    Taky jsem si všimnul, že obráceně to nejde jistě: Když je v .htaccess přesměrování, tak uživatel se k mému fóru asi nemá šanci dostat (pokud má ten omezený internet).
    Jinak děkuji.

    1. Jiří Zralý

      Dobrý den,

      zdá se mi nepravděpodobné, že by někdo měl omezený přístup tak, že by se nedostal na stránky s https, protože na něm dnes už běží většina velký webů. Mimojiné seznam.cz, google.com apod. Lze očekávat, že do roka bude samozřejmost, že všechny stránky budou na https, tzn. takto k tomu nelze přistupovat.

      Nedoporučuji mít web dostupný na obou verzích zároveň.

  5. Ahoj, moc nechápu, proč nepodporujete subdomény. Na svém serveru LetsEnctypt používám a subdomény normálně jedou, není třeba nic extra nastavovat. V čem je problém?

    1. Jiří Zralý

      Let’s Encrypt umožňuje s doménou 2. řádu přidat sice další subdomény (v současnosti myslím 100), ale to by bylo pro nás bohužel implementačně příliš náročné (musí se ověřovat každá subdoména, musí se řešit případné přepisy apod.), navíc certifikát nelze neomezeně přegenerovávat, takže by se musel stejně každý klient rozhodnout na začátku, jaké subdomény tam chce. A to je zase celkem složité pro UX a celkovou komunikaci.

      Zatím jsme se tedy z těchto důvodů rozhodli nabídnout certifikát pouze pro hlavní doménu a subdoménu www.

  6. Dobrý deň,
    Postupoval som podľa vášho návodu a fungoval.
    ALE po čase začalo vypisovať, že pripojenie webu nie je bezpečné.
    Plugin fungoval, ale keď som upravil htaccess, písalo to, že príliš veľa presmerovaní.

  7. Dobrý den,
    certifikát jsem aktivoval snadno dle vašeho návodu, děkuji.
    U certifikátu mám po aktivaci jen tři měsíce do expirace, pak se certifikát sám prodlouží?
    Děkuju.

    Certifikát SSL Let’s Encrypt (expirace 29. 11. 2016)

Napsat komentář: David Marek Zruš odpověď

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..