Hlavní navigace

Let's Encrypt na web hostingu: firmy o něm vědí a připravují se

Petr Krčmář

O iniciativě Let's Encrypt se v posledních měsících hodně mluví. Jejím cílem je přinést všem SSL certifikáty zdarma pro jejich webové servery a navíc bez starostí. Pokud máte vlastní server nebo VPS, je situace jednoduchá. Co ale provozovatelé web hostingových služeb? Jsou na Let's Encrypt připraveni?

Za iniciativou Let's Encrypt stojí Internet Security Research Group (ISRG) a hlavními sponzory jsou EFF, Mozilla Foundation, Akamai a Cisco Systems. Kromě toho je do projektu zapojena certifikační autorita IdenTrust, University of Michigan, Stanford Law School nebo třeba Linux Foundation.

Současné plány hovoří o spuštění 16. listopadu a od té doby by měl být k dispozici pohodlný způsob získávání a automatického nasazování SSL certifikátu na webové servery. Pro zprovoznění bude stačit nainstalovat na běžící server jednoduchou utilitu, vybrat na něm domény a software se o vše automaticky postará. Detailní rozbor jeho fungování pro vás připravujeme do samostatného článku.

Na vlastním serveru nebo VPS je vše poměrně přímočaré, protože správce může instalovat utilitu a konfigurovat samotný web server. Uživatelé se ale začínají ptát, jak to bude u poskytovatelů web hostingových služeb. Záleží na nich, zda vůbec a jak podporu Let's Encrypt implementují a zda ji vůbec chtějí nabídnout uživatelům.

Myšlenka je to vcelku logická a poměrně lákavá: firma zavede do svých systémů podporu otevřeného protokolu a dokáže na jedno kliknutí (nebo ani to ne) všem svým uživatelům nabídnout podporu HTTPS a zároveň pak třeba rychlejší protokol HTTP/2. Chtějí ovšem poskytovatelé hostingu něco takového? Oslovili jsme několik hostingových společností a požádali je o názor.

Současný stav: mají, ale důvěryhodný za peníze

Nejprve jsme zjišťovali, v jakém stavu je podpora HTTPS na hostingových serverech dnes. Automatizované nasazení SSL na hostingu nenabízíme. Zákazník provádí objednávku certifikátu přes kontaktní formulář. Vždy s ním individuálně probereme požadavky a nabídneme vhodné řešení. Pak případně přistoupíme k vystavení faktury a zřízení certifikátu, řekl nám Jiří Tolar z FORPSI.

Podobně je na tom i slovenská společnost ELBIA: V současné době SSL certifikáty neprodáváme, takže úplně automatické nasazení SSL certifikátů momentálně neděláme. V každé případě si klienti mohou certifikát zakoupit od libovolné autority a následně je do své domény/subdomény nainstalovat prostřednictvím našeho administračního rozhraní, sdělil nám zástupce společnosti, Jozef Sudolský.

Pavel Špinka z Hosting90 nám sdělil, že společnost svým klientům nabízí přímý nákup certifikátů od dvou autorit: V současné době SSL na hostingu poskytujeme, klientům nabízíme certifikáty od RapidSSL a GoDaddy.

SSL certifikáty na hostingu samozřejmě plně podporujeme. Pokud si zákazník pořídí SSL certifikát na našem projektu SSLmarket.cz, pak mu certifikát na hosting nasadíme automaticky a zdarma. Bezplatně nasadíme na hosting i SSL certifikát od jiného prodejce. V tomto případě je ale důležité kontaktovat naši podporu k vystavení veřejného klíče (CSR request). Nicméně naprostá většina našich zákazníků nám plně důvěřuje a má hosting i SSL certifikát zakoupený u nás, řekl nám Marek Machač ze společnosti Zoner provozující hosting Czechia.com.

Aktuálně máme nasazení SSL automatizované. Certifikát si musí klient zajistit svůj nebo může použít náš sdílený. Máme rozjednáno zprostředkování důvěryhodných certifikátů, ale reálně to nasadíme až někdy na začátku jara, popsal nám situaci Josef Grill ze společnosti WEDOS.

HTTPS je aktivní na každém našem Linux hostingu, tedy jak u těch nově zřizovaných, tak zpětně u všech stávajících. Je součástí základní služby a má aktivní podporou protokolů SPDY, resp. HTTP/2. HTTPS považujeme za nový standard, který by měl být dostupný všem bez jakýchkoliv příplatků, říká Tomáš Hála ze společnosti Active 24. Ta sice během letošního léta zapnula HTTPS všem zákazníkům, ale zdarma jim generuje jen vlastní (self-signed) certifikáty, které se klientům jeví jako nedůvěryhodné. Podobně je na tom například také ELBIA.

Let's Encrypt známe a pozorně sledujeme

Web hosteři se shodují na tom, že o Let's Encrypt velmi dobře vědí a zatím opatrně sledují dění okolo projektu. Ano, samozřejmě vývoj certifikační autority Let's Encrypt sledujeme už od úplného začátku, velmi jim fandíme a těšíme se na ostrý provoz. Věříme, že její spuštění bude znamenat revoluci v šifrování internetu a zvýšení bezpečnosti a soukromí, říká Jozef Sudolský z ELBIA.

O Let's Encrypt víme. Momentálně zvažujeme, jakým způsobem by mohla implementace proběhnout. Kromě sdíleného webhostingu nabízíme také pronájem serverů (virtuálních i fyzických). Zvažujeme, pro které služby bychom mohli certifikáty Let's Encrypt nasadit, zda bude možné Let's Encrypt zařadit do naší infrastruktury služeb, jakým způsobem bychom to řešili prakticky, potvrdil Jiří Tolar z FORPSI.

O iniciativě víme, nasazení plánujeme v krátkodobém horizontu, v současné době připravujeme náš hostingový systém pro tuto službu, řekl Pavel Špinka z Hosting90. O Let’s Encrypt samozřejmě víme. Sledujeme jeho aktuální vývoj a směr, kterým se bude nadále vyvíjet. Jakýkoliv krok směrem k zabezpečení internetu pomocí https protokolu je z naší strany vítán, shodně potvrzuje Marek Machač z CZECHIA.

Iniciativu Let's Encrypt sledujeme velmi pozorně už od jejího založení. Na straně našeho web hostingu jsme odstranili všechny překážky, které brání širšímu nasazování HTTPS až na jednu, a tou je cena za důvěryhodný certifikát. Tady byl míč na straně certifikačních autorit a my nemáme ambici se takovou autoritou stát. Nelíbí se nám ani řešení pomocí sdílených certifikátů přes desítky různých nesouvisejících domén, které využívají některé společnosti. Vznikají tak nepříjemné situace, kdy například oficiální stránky Pražského hradu sdílely SSL certifikát s doménou s pornografickým obsahem. To důvěryhodnosti skutečně neprospívá. Vznik certifikační autority Let's Encrypt proto velmi vítáme, říká Tomáš Hála z Active24.

Nasadit určitě chceme

Dobrou zprávou je, že společnosti nejen celou iniciativu sledují a vítají, ale slibují implementaci jejich služeb do vlastních systémů. Počítáme, že podporu Let's Encrypt spustíme do jednoho týdne od přechodu k ostrému provozu. Náš systém je v současnosti na automatické nasazení plně připraven. V praxi to pro nás bude znamenat jen ověřování domén/subdomén a vkládání vygenerovaných SSL certifikátů a soukromých klíčů do naší databáze, vše ostatní nám už funguje teď, vysvětlil nám Jozef Sudolský z ELBIA.

Nasazení plánujeme v krátkodobém horizontu, v současné době připravujeme náš hostingový systém pro tuto službu, říká Pavel Špinka z Hosting90. Opatrnější je zatím Jiří Tolar z FORPSI: Konkrétní řešení pro nasazení zatím nemáme, v tuto chvíli je vše ve fázi prvotního plánování.

Hned v tu chvíli, kdy začne Let's Encrypt vydávat své certifikáty, je bude možné samoobslužně a zcela zdarma nainstalovat a provozovat na našem Linux hostingu. Následně je logickým krokem, že tento proces zákazníkům ještě zjednodušíme a místo stávajících self-signed certifikátů jim rovnou zprostředkujeme a nainstalujeme důvěryhodný certifikát od Let's Encrypt. Je to tedy jednoznačně součástí našich plánů, tvrdí Tomáš Hála z Active24.

Již delší dobu analyzujeme možnosti integrace Let's Encrypt s našimi web hostingovými a server hostingovými službami. Z našeho pohledu je rozhodující, do jaké míry dojde k rozšíření povědomí o této službě mezi laickou veřejnost. Samozřejmě si uvědomujeme, jaký tato služba může mít efekt pro některé naše zákazníky, a proto předpokládáme, že pro takové zájemce podporu Let's Encrypt implementujeme, říká Marek Machač z CZECHIA.

Pro uživatele co nejjednodušeji

Provozovatelé web hostingu se vesměs shodují na tom, že mají v plánu podporu Let's Encrypt nasadit velmi rychle. Zároveň dodávají, že by chtěli využít projektem slibované jednoduchosti a přenést ji i na své klienty. Vše by proto mělo být nakonec plně automatizované a vyžadovat od uživatele minimum úsilí.

Pokud bude Let's Encrypt fungovat tak, jak je ti v současné době prezentováno, bude u nás ověření a instalace SSL certifikátu zcela automatické a pro klienta transparentní. Hned po přidání domény nebo vytvoření subdomény do našeho rozhraní se v pozadí spustí proces ověření a následně na ni nainstalujeme příslušný SSL certifikát. Klienti si pak budou moci zvolit, zda chtějí provozovat HTTPS s certifikátem od Let's Encrypt nebo s jiným. Prodlužování SSL certifikátu bude také plně automatické, takže klient nebude muset dělat vůbec nic, říká Jozef Sudolský z ELBIA.

Náš prozatímní plán je takový, že pro uživatele bude zřízení služby znamenat ‚jedno kliknutí‘ v administračním rozhraní. Celý proces autorizace plánujeme kompletně automatizovat, potvrzuje také Pavel Špinka z Hosting90. Jak budou vypadat konkrétní ověřovací kroky při implementaci Let's Encrypt zatím zvažujeme, shrnul Marek Machač z CZECHIA.

Detaily implementace Let's Encrypt do našich systémů právě interně diskutujeme v rámci přípravných prací. Pravděpodobně bude ověřování probíhat ihned poté, co bude doména v DNS nasměrována na hosting u nás. Zároveň s tím ale bude nutné zajistit včasné a spolehlivé obnovování certifikátů před datem expirace a také jejich případné revokace, říká Tomáš Hála z Active24. Zároveň zmiňuje i jeden potenciální problém, který bude třeba do budoucna vyřešit: S nástupem Let's Encrypt se musíme připravit na to, že pokud jsou dnes nezabezpečené webové aplikace napadány malwarem, nově bude mít útočník možnost si k doméně i vygenerovat validní certifikát. Proto by měl systém s takovými incidenty počítat a podvodné certifikáty umožnit bez prodlení revokovat. Záleží to i na některých detailech, jak bude Let's Encrypt v praxi fungovat, které nyní studujeme.

Web hosting míří k HTTPS

Web hosteři se tedy shodují na tom, že Let's Encrypt je velmi užitečný projekt, které ho se chtějí sami velmi brzy zúčastnit. Klientům automaticky nabídnou či rovnou spustí podporu HTTPS s validním certifikátem zdarma. Důležité je, že uživatel pro to nebude muset vlastně udělat nic. Bude to mít ještě jednodušší než uživatel VPS, který musí alespoň nainstalovat onu automatickou utilitu.

Výsledkem tedy bude, že i neznalý zákazník, který se nechce a neumí šifrováním zabývat, jej dostane automaticky naservírované, naladěné a zapnuté. Jen tak se může HTTPS stát běžným standardem, který budeme očekávat a vyžadovat.

Našli jste v článku chybu?

7. 10. 2015 14:49

Petr (neregistrovaný)

Nechápu to strašení se zákazem http. On někdo vydáním SSH zakázal Telnet? Můj klient umí obojí i když jsem telnet už 10 let nepoužil. Maximálně si dovedu představit, že za 5 let začne u http vyskakovat hláška jaká vyskakuje teď u self-signed certifikátů, ale to už budou všechny weby na https a vaší krabičku doma budete mít ve výjimkách.

7. 10. 2015 18:20

JD (neregistrovaný)

Lepsi for je, kdyz ta aktualizace existuje, ale aktualizaci lze provest pouze pres web rozhrani na ktere se clovek nedostane protoze tam bezi zavrzeny protokol.

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Poznáte poctivé suroviny na pečení cukroví?

Poznáte poctivé suroviny na pečení cukroví?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: Jmelí je více léčivé než jedovaté

Jmelí je více léčivé než jedovaté

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte