Před deseti lety odstartovala nezisková certifikační autorita Let’s Encrypt změny, které pomáhají udržovat internet bezpečnějším a které zároveň následně změnily přístup všech webových prohlížečů k šifrování komunikace. Ačkoliv se tehdy mohlo zdát, že zpřístupnění bezplatných certifikátů pro jakoukoliv doménu bude znamenat rychlý konec všech zpoplatněných komerčních alternativ, čas ukázal, že své místo pod sluncem si nakonec udržely z různých důvodů obě varianty. Přitom jak ukazuje praxe, při správném nastavení lze i s certifikátem zdarma dosáhnout maximálního ratingu zabezpečené komunikace A+, a naopak ani certifikáty vyhlášených autorit nejsou pokaždé zárukou dokonalého zabezpečení.
Podívejme se napřed trochu do historie. Do roku 2015 nebyla jiná cesta, jak získat dlouhodobě symbol zámečku u adresního řádku většiny prohlížečů, než investovat do některého z komerčních certifikátů. Dlouhodobě zde zmiňuji proto, že samozřejmě bylo možné i tehdy zdarma pořídit různé trial certifikáty na vyzkoušení, platné jen několik dní. A podmínkou většiny prohlížečů jsou zase eliminovány případy self-signed certifikátů, které bylo nutné do každého z používaných prohlížečů doinstalovat, pokud jste se chtěli vyhnout upozornění na chyby v nedůvěryhodné komunikaci.
Není proto divu, že v té době byla naprostým standardem nezabezpečená komunikace na protokolu HTTP a portu 80. Naproti tomu placené serverové certifikáty, protokol HTTPS a port 443 byly výsadou hlavně bank, lepších e-shopů a dalších institucí, pro něž odlišná barva adresního řádku představovala známku větší důvěryhodnosti pro návštěvníky. Tomu odpovídala i praxe webhostingových firem, když zabezpečené spojení bylo nabízeno jako nadstandard za příplatek.
Odlišuje je podíl ručního prověřování
Na tomto místě připomeňme, že komerční certifikáty se od sebe liší (i cenově) podle míry ověřování skutečností, kterou mají prokázat. Na nejnižší úrovni je ověření vlastnictví domény (DV – domain validation), kdy je zapotřebí postavit najisto, že žadatel o certifikát má v okamžiku podání žádosti tuto doménu pod kontrolou. Provádí se čistě pomocí technických prostředků, buď s využitím potvrzovacího mailu zaslaného na určitou schránku na příslušné doméně, nebo pomocí DNS záznamu či souboru na webu.
O něco přísnější je ověření organizace (OV – organization validation). Tady je už potřeba prokázat, že doménu vlastní určitá existující společnost, k níž se dá dohledat stopa mimo internetový svět. Údaje žadatele se prověřují v existujících veřejných důvěryhodných databázích a podmínkou je telefonický hovor s kontaktem, jehož číslo je na společnost v těchto databázích navázáno.
Nejvyšší úroveň (EV – extended validation) představuje nejpřísnější stupeň prověřování. Certifikační autorita ručně ověří formální existenci a právní subjektivitu žádající organizace, zda firma skutečně sídlí na uvedené adrese a je-li její telefonní číslo ve veřejných zdrojích legitimní. Žádost pak je nutné vlastnoručně podepsat a oskenovaný dokument zaslat autoritě e-mailem. Podmínky také vylučují, aby o EV certifikáty mohly žádat fyzické osoby nepodnikající.
Příchod Let’s Encrypt znamenal v segmentu doménových certifikátů revoluční změnu. Ačkoliv tato nezisková autorita nabízí jen základní DV ověření, zpřístupnila zabezpečené spojení masám. Podíváme-li se do statistik, zatímco na začátku roku 2016 vydala certifikáty pro 359 tisíc plně kvalifikovaných domén, o dva roky později už šlo o 63 milionů domén a nyní je to 585 milionů doménových jmen.
Výrobci prohlížečů spatřili příležitost
Tohoto trendu si záhy všimli i vývojáři prohlížečů a rozhodli se učinit ze zabezpečeného připojení protokolem HTTPS standard. První byl Google Chrome, který využil své dominance na trhu a napřed weby běžící pouze na nešifrovaném protokolu penalizoval ve vyhledávání a posléze je od července 2018 začal označovat nálepkou „nezabezpečeno“. Ostatní stejný krok následovali.
Spolu se stanovením standardu šifrovaného spojení se producenti browserů poté odhodlali ještě k jednomu kroku k velké nelibosti komerčních certifikačních autorit. Skoncovali totiž s fetišem různě barevných adresních řádků v závislosti na stupni prověření pro vydávaný certifikát. Nechtěli tak podporovat falešný dojem bezmezné důvěryhodnosti zeleně podbarvených adres webů, když i na nich mohly běžet aplikace nepoctivého charakteru.
S opuštěním konceptu vizuálního zvýhodňování EV certifikátů v prohlížečích přestalo dávat smysl za ně utrácet, a dokonce vůbec nakupovat jakékoliv komerční certifikáty, když téže „zákaznické zkušenosti“ lze dosáhnout i bezplatně. Nebo snad ne?
Stát funguje zhruba půl na půl
Podíváme-li se na web Hlídač státu, který mimo jiné monitoruje, jak je na tom státní správa s kondicí svých certifikátů, jestli nejsou expirované, jsou vystavené pro všechna odpovídající doménová jména apod., zjistíme, že zhruba polovina webů příležitost na těchto nákladech ušetřit využívá a druhá polovina nikoliv.
Ať už jsou to weby všech brněnských špiček soudní soustavy (nssoud.cz, nsoud.cz, usoud.cz), vlády (vlada.gov.cz), policie (policie.cz), celní správy (celnisprava.cz), pražského magistrátu (praha.eu), ministerstva spravedlnosti (msp.gov.cz), průmyslu a obchodu (mpo.gov.cz), Cermatu (cermat.gov.cz) nebo třeba insolvenčního rejstříku (isir.justice.cz), ty všechny používají komerční certifikáty autority DigiCert.
Naproti tomu weby ministerstva financí (mfcr.cz), pro místní rozvoj (mmr.gov.cz), Českého telekomunikačního úřadu (ctu.gov.cz), obchodní inspekce (coi.gov.cz), katastrálního úřadu (cuzk.gov.cz), školní inspekce (csicr.cz) nebo Národního bezpečnostního úřadu (nbu.gov.cz) jsou zabezpečeny certifikátem Let’s Encrypt.
A nalezneme zde i jednotky institucí, jež jdou mimo dva hlavní proudy a používají jiné komerční certifikáty. Kupříkladu Národní knihovna (nkp.cz) má certifikát od autority Geant Vereniging, Národní sportovní agentura (nsa.gov.cz) a portál pro elektronické dálniční známky (edalnice.cz) využívá CA Sectigo a Ústav zdravotnických informací a statistiky (uzis.cz) a NÚKIB (nukib.gov.cz) si tyto služby objednal od české certifikační autority Alpiro.
Příklady telekomunikačního regulátora nebo katastrálních úřadů ukazují, že i s Let's Encrypt certifikáty lze v hodnocení zabezpečení dosahovat známek A+. Naopak příklady z justičního prostředí nejsou příliš hodné následování, protože ač za certifikáty vysoké soudní instituce musejí platit, nemají šifrování nasazeno správně. Týká se to jak Ústavního soudu, kterému unikla dvojice potenciálních zranitelností, tak Nejvyššího správního soudu, který nadto ještě nesplňuje podmínku uzavřeného řetězce důvěry.
Certifikát za peníze má delší platnost
Důvody, proč dávat přednost placené variantě před certifikátem grátis, jsou v zásadě dva. Let's Encrypt vydává DV certifikáty pouze s platností omezenou na tři měsíce. Než původní expiruje, je potřeba nasadit certifikát nový, tedy mít funkční ACME klient a na něm nastavit prvky automatizace, aby se pokud možno systém o tuto povinnost včas staral sám. Proti tomu komerční certifikáty se zpravidla vydávají přinejmenším na jeden rok. IT oddělení tak stačí pamatovat si, že jednou ročně je potřeba certifikát vyměnit.
„V některých prostředích navíc implementace automatizace prostřednictvím dostupných ACME klientů pro Let's Encrypt dosud nemusí být doladěna k dostatečné spolehlivosti, nebo nemusí být dostupná vůbec,“ dodává šéf české certifikační autority Alpiro Antonín Kozan. A přidává druhý důvod, proč doménové ověření je pro klienty často nedostatečné.
„Mnoho našich zákazníků si uvědomuje, že v souvislosti s SSL certifikáty není podstatné jen samotné šifrování komunikace, ale i přidaná hodnota ve formě vyšší důvěryhodnosti s SSL certifikátem vystaveným proti rigoróznímu ověření organizace. To je stěžejní pro celou řadu organizací od finančních či státních institucí, zavedených společností, internetových obchodů a dalších subjektů, které na vyšší důvěryhodnost SSL certifikátů s OV nebo EV kladou vysoký důraz,“ uzavírá.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU