Hypertext Transfer Protocol (HTTP) je sada pravidel, pomocí kterých prohlížeče určují způsob čtení a přenosu dat na webu. Pokud adresa URL obsahuje schéma „http“, umí se prohlížeč tímto protokolem řídit a webové stránky úspěšně načíst.
Protokol HTTPS je stejný jako HTTP, jen navíc dává prohlížeči pokyn, aby šifroval data přenesená z webové stránky. Šifrování zakrývá data a snižuje pravděpodobnost, že budou vaše informace zobrazeny nebo zneužity. To je důležité, pokud webová stránka obsahuje citlivé údaje, jako jsou vaše osobní nebo finanční informace.
Nastavení HTTPS
Pokud chcete u názvu domény použít protokol HTTPS, musíte mít na webu nainstalovaný certifikát SSL nebo TLS. Váš webový hostitel (poskytovatel webového hostingu) může nabízet zabezpečení HTTPS nebo můžete požádat certifikační autority o certifikát SSL/TLS a nainstalovat ho sami. Certifikáty SSL/TLS může být potřeba pravidelně obnovovat.
Existují různé druhy webových serverů a každý z nich má vlastní postup instalace a aktualizace certifikátů SSL/TLS. Zjistěte, který webový server vaše stránka používá, a postupujte podle pokynů k instalaci a aktualizaci certifikátu.
Následující služby Google automaticky vydávají, instalují a obnovují certifikáty SSL/TLS bez dalších příplatků:
Certifikáty SSL/TLS také vydává, instaluje a obnovuje mnoho hostitelů třetích stran. Můžete využít libovolného webového hostitele ve spojení se službou Google Domains, například Bluehost, Shopify, Squarespace, Weebly nebo Wix.
Informace o připojení k webovému hostiteli a nastavení protokolu HTTPS
Pokud váš webový hostitel nenabízí zabezpečení HTTPS, můžete získat certifikát SSL/TLS pro svou doménu od certifikační autority. Společnost Google má vlastní certifikační autoritu, která se nazývá Google Trust Services. Zákazníci služby Google Domains mohou získat certifikát od certifikační autority Google Trust Services podle pokynů na stránce Zabezpečení vaší domény.
Další populární certifikační autorita, která poskytuje certifikáty v zájmu vytvoření bezpečnějšího internetu, je Let's Encrypt.
Jakmile získáte certifikát, musíte jej ve spolupráci s webovým hostitelem nainstalovat. Pokud hostujete web na vlastních serverech, přečtěte si, jak povolit protokol HTTPS. Pokud ke správě certifikátů používáte protokol ACME (Automatic Certificate Management Environment), můžete certifikáty spravovat podle pokynů níže pomocí protokolů ACME a DNS.
Získání certifikátu od Google Trust Services:
- Přihlaste se do služby Google Domains.
- Vyberte doménu, pro kterou chcete získat certifikát.
- Vlevo nahoře klepněte na nabídku Zabezpečení.
- V sekci „Certifikáty SSL/TLS pro vaši doménu“ rozbalte nabídku Google Trust Services.
- Klikněte na Získat klíč EAB.
- Otevře se dialogové okno se dvěma hodnotami, „EAB Key ID“ a „EAB HMAC Key“.
- Zkopírujte obě hodnoty kliknutím na tlačítka Kopírovat, která najdete vedle nich.
- Tyto hodnoty použijte k registraci účtu u certifikační autority Google Trust Services. Každá implementace klienta ACME se mírně liší podle toho, jak určíte klíč EAB. Prostudujte si dokumentaci klienta ACME, kterého chcete použít.
- Zde je příklad konfigurace s oblíbeným klientem Certbot.
- Postup registrace účtu:
certbot register --email <CONTACT_EMAIL> --no-eff-email --server "https://dv.acme-v02.api.pki.goog/directory" --eab-kid "<EAB_KEY_ID>" --eab-hmac-key "<EAB_HMAC_KEY>"
- Po vytvoření účtu můžete vydávat certifikáty spuštěním příkazu:
certbot certonly -d <YOUR_DOMAIN> --server "https://dv.acme-v02.api.pki.goog/directory" --standalone
- Postup registrace účtu:
- Zde je příklad konfigurace s oblíbeným klientem Certbot.
- Otevře se dialogové okno se dvěma hodnotami, „EAB Key ID“ a „EAB HMAC Key“.
Správa certifikátů pomocí protokolů ACME a DNS
ACME je běžný protokol používaný k automatizaci správy certifikátů mezi certifikační autoritou (CA) a serverem. Díky automatizaci se snižuje riziko výpadku na straně uživatele způsobené selháním obnovení certifikátů HTTPS.
K prokázání vaší kontroly nad názvem domény využívá protokol ACME výzvy. Služba Google Domains podporuje u serverů DNS typ výzvy DNS-01 prostřednictvím tokenů rozhraní API.
Vytvoření tokenu rozhraní API:
- Přihlaste se do služby Google Domains.
- Vyberte doménu, kterou chcete použít.
- Vlevo nahoře klepněte na nabídku Zabezpečení.
- V sekci ACME DNS API klepněte na Vytvořit token.
DŮLEŽITÉ: Tato hodnota se zobrazí pouze jednou. Po zavření dialogového okna už tento token rozhraní API znovu nenajdete. Tento token uchovejte na bezpečném místě, protože každý, kdo ho získá, může upravovat některé záznamy DNS vaší domény.
- Otevře se dialogové okno s tokenem rozhraní API.
- Tento token rozhraní API potřebujete k přihlášení ke klientovi ACME.
- Zkopírujte tuto hodnotu kliknutím na tlačítko Kopírovat vedle tokenu API.
- Pokud jste si tuto hodnotu před zavřením dialogového okna neuložili, můžete token snadno smazat a vytvořit nový.
- Na jedné doméně může současně být nejvýše 10 tokenů rozhraní API.
- Po zavření dialogového okna se v seznamu zobrazí záznam. Pokud chcete tokenu zrušit přístup, můžete ho kdykoliv smazat.
- Token rozhraní API lze používat v klientech ACME, které podporují Google Domains ACME DNS API. Každá implementace protokolu ACME se mírně liší podle toho, jak token rozhraní API zadáte. Prostudujte si dokumentaci klienta ACME, kterého chcete použít.
- Otevře se dialogové okno s tokenem rozhraní API.
- Certbot prostřednictvím komunitního pluginu
- Webový server Caddy
- Certify The Web
- Posh-ACME
Zabezpečení certifikátů SSL/TLS
Protokol HTTPS pomáhá zabránit útokům třetí osobou (MitM), ale pokud někdo dokáže předstírat identitu vašeho certifikátu SSL/TLS, jsou tyto útoky stále možné. Zabráníte tomu kontrolou certifikátů vydaných pro váš web, které nepoznáváte. Pomocí záznamů zdrojů CAA (Certification Authority Authorization) můžete omezit, kdo může vydat certifikáty pro vaši doménu.
Zobrazení certifikátů vydaných pro vaši doménu
Pokud chcete zkontrolovat certifikáty vydané pro vaši doménu, můžete je vyhledat na adrese censys.io.