Hlavní navigace

Let's Encrypt nabídne wildcard certifikáty platné pro všechny subdomény

Roman Bořánek

Certifikační autorita Let's Encrypt uživatelům splní velké přání – přidá wildcard certifikáty platné pro libovolnou subdoménu. Odpadne tak komplikované a obtížně automatizovatelné vypisování subdomén.

Využívání služeb bezplatné certifikační autority Let’s Encrypt bude od ledna příštího roku ještě snazší. Autorita totiž přidá jednu z nejvíce žádaných možností, a to vydávání wildcard certifikátů. Bude tak možné požádat o certifikát, který vztahující se nejen na hlavní doménu, ale zároveň na všechny možné subdomény (zkrátka *.priklad.cz).

Aktuálně to funguje tak, že žadatel musí při žádosti o SSL certifikát vypsat všechny subdomény, ke kterým se certifikát má vztahovat. Pokud chcete nějakou subdoménu pokrýt dodatečně, je to možné, ale musíte pro ni vydat vlastní certifikát nebo původní certifikát zrušit a znovu vydat s další subdoménou. Přestože je to proces (např. s oficiálním nástrojem Certbot) velmi jednoduchý, pro servery pracující s mnoha subdoménami to stále není optimální.

Wildcard certifikáty budou nabízeny zdarma přes naše připravované ACME v2 API. Zprvu u wildcard certifikátů budeme podporovat pouze základní ověření domény přes DNS, ale možná se časem poohlédneme i po dalších možnostech ověření. Pokud o podpoře wildcard certifikátů máte jakékoliv otázky, neváhejte se zeptat na našem komunitním fóru, píše v oznámení Josh Aas, šéf Internet Security Research Group, která Let’s Encrypt spravuje.

ACME v2, ohlášený před několika týdny, nahradí současný protokol ACME v1. Nepřináší zásadní změny, ale na rozdíl od první verze bude oficiálním standardem Internet Engineering Task Force. Různá menší vylepšení byla implementována ve spolupráci s dalšími certifikačními autoritami. ACME v2 tak bude univerzální a využitelný nejen ze strany Let’s Encrypt.

Podpora wildcard by dále měla usnadnit vydávání certifikátů a hlavně jeho automatizaci. Aktuálně je většinou nutné změny subdomén v certifikátu řešit manuálně. Zároveň však zůstane možnost vydávat certifikáty postaru. Wildcard certifikáty totiž nemají být univerzální řešení. V řadě případů jsou stránky/služby na jednotlivých subdoménách v podstatě samostatné a v takových případech je lepší mít pro subdomény vlastní certifikáty.

Bezplatná certifikační autorita Let’s Encrypt byla spuštěna koncem roku 2015 a nedávno dosáhla milníku sta miliónů vydaných certifikátů. Projekt zřejmě také nemalou měrou přispěl ke globálnímu rozšíření HTTPS. Pro srovnání, za působení Let’s Encrypt se procento stránek načtených přes HTTPS zvýšilo ze 40 na cca 58 % (data z prohlížeče Firefox).

Našli jste v článku chybu?