Zabezpečte svoje domény pomocí Comodo SSL (https) certifikátu. Víte, co je to multidoménový certifikát, jak vygenerovat CSR žádost a k čemu je SNI?

Existuje vícero certifikátů od různých certifikačních autorit. Standardní SSL certifikáty (https) pro jednotlivé domény zabezpečí doménu www.example.com, a některé i současně example.com (z pohledu URL se jedná o dvě odlišné adresy).

Pokud máte více subdomén, můžete si pořídit Wildcard SSL certifikát, který vám zabezpečí hlavní doménu i všechny subdomény, tj. *.example.com. Zabezpečí www.example.com, example.com, neco.example.com, neco2.example.com. Jeho cena je vyšší a vyplatí se v případě, kdy máte více subdomén.

Pokud potřebujete zabezpečit různé domény a třeba i různé subdomény, můžete zkusit Multidoménové SSL ceritifkáty.

Comodo Positive Multi Domain SSL Certificate – 2 SAN included

Tento certifikát patří mezi levné multidoménové certifikáty. Je bezpečný, funkční a webové prohlížeče (desktopové i mobilní) s ním nemají problém. Patří mezi nižší třídu (nenabízí zelený řádek), spolehlivě vám ale zajistí šifrovaný přenos a v adresním řádu zobrazí standardní zámeček.

Na ComodoSSLStore.com lze zmíněný certifikát koupit za nejnižší cenu, alespoň dle toho, co jsem našel (a možná vám bude fungovat slevový kupón: CSPOMDC1, který odečte dva dolary). Platí, že čím na delší dobu objednáte (až 3 roky), tím dostanete nižší cenu.

Když například potřebujete certifikát pro 2 domény a 7 subdomén, potřebujete ochránit 2+7 = 9 různých (sub)domén. Na webu to mají docela zmatečně uvedeno, ale u “Additional Domain” byste měli uvést 8 (9-1=8), protože při objednání SSL certifikátu musíte vždy uvést CSR žádost, ve které musíte uvést nějakou doménu, která bude certifikátem také ochráněna. Takže pokud potřebujete ochránit 9 (sub)domén, do CSR žádosti uveďte jednu z nich a zbytek uvedete v dalším kroku při objednání certifikátu, proto reálně stačí “objednat” dalších 8 (sub)domén. Budete mít jeden certifikát na 9 (sub)domén. Multidoménový certifikát umí ochránit až 100 (sub)domén a nelze využít hvězdičku *.example.com jako u Wildcard certifikátu.

Ověření proběhne pomocí potvrzení zaslaného e-mailu na všechny domény druhého řádku (pokud jste uvedli neco.example.com, e-mail se pošle na admin@example.com). Certifikát tak můžete mít během pár desítek minut.

Pokud s nimi budete chtít něco řešit, doporučuji kontaktovat on-line podporu, pokud nechcete čekat na odpověď delší dobu (e-maily jim váznou). Na chatu jsou pohotoví, pravda ne moc ochotní (v rámci mezí), navíc dost struční, ale jsou aspoň fundovaní, což oceníte (skrze stejný problém jsem kontaktoval i podporu namecheap.com, kde to byla spousta sladkých řečí “jsem tu pro vás, ptejte se, bla bla”, ale bohužel slečna podala chybnou informaci, takže by mi byl certifikát za pár tisíc k ničemu).

Alternativně můžete také zvážit koupi SSL certifikátu přes Simplii Petra Soukupa, který jej nabízí za nákupní cenu (v době psaní článku za krásných 99 Kč/rok). Více na crt.simplia.cz. Nabízí stejný SSL certifikát jako výše popsaný, akorát pouze pro jednu (sub)doménu, nikoli tedy ve variantě Multi Domain. Ale pokud vám stačí jedna doména, za tu cenu je to jasná volba.

Jak vygenerovat CSR žádost?

Před koupí certifikátu potřebujete CSR žádost. Buď vám jej vygeneruje hosting, nebo si jej můžete vygenerovat sami třeba na serveru, u sebe na PC, nebo on-line na některé webové službě. Třeba na SSLS.cz/csr/. Musíte v ní uvést jméno, příjmení, adresu (poštovní) a doménu, kterou chcete ochránit. Rozumné je také uvést Algoritmus: “SHA-2” a privátní klíč “RSA-2048”.

V případě výše uvedeného multidoménového certifikátu stačí uvést jednu z těch domén, které chcete ochránit – pak již není třeba uvádět a počítat s ní mezi “Additional Domain”, automaticky bude také ochráněna.

Někde platí, že pokud uvedete example.com, současně je ochráněna www.example.com. Jindy musíte uvést www.example.com, aby byla současně ochráněna i example.com. Některá certifikační autorita ochrání jen skutečně to, co uvedete. Vždycky se proto před koupí raději ujistěte u podpory, jak to s vybraným certifikátem je (a doporučuji to i v tomto případě).

Jak je to s veřejnou IP adresou a SNI?

Pro SSL certifikát (HTTPS) potřebujete veřejnou IP adresu. 1 SSL certifikát = 1 IP adresa.

Pokud máte 9 samostatných SSL certifikátů, tak platí, že jedna (sub)doména = 1 IP. Pokud potřebujete zabezpečit 9 (sub)domén, budete potřebovat 9 IP adres, což se už docela prodraží.

Tip na řešení více samostatných SSL certifikátů s jednou IP: Dnes už to lze řešit efektivněji. Pokud váš hoster podporuje SNI, dokáže vám všechny samostatné SSL certifikáty (třeba těch zmíněných 9 certifikátů) zprovoznit na jedné IP. Má to ale jednu malou nevýhodu, kterou je nepodpora SNI v Internet Exploreru 7 na Windows XP a možná v nějakých dalších starých webových mobilních/desktopových prohlížečích (více zde).

Když využijete multidoménový certifikát (o kterém se zmiňuji výše), bude vám stačit pouze 1 IP, protože se jedná pouze o jeden certifikát (což je super, odpadá nutnost placení více IP). A mimochodem, i v tomto případě to technicky může běžet na SNI, ale pokud daný klient SNI nepodporuje, použije se volání přes veřejnou IP, takže klient nic ve výsledku nepozná a vše běží tak, jak má.




Leave a Reply