SSLmentor

SSL certifikáty pre zabezpečenie HTTPS komunikácie a www stránok! Desiatky ssl certifikátov od 6 certifikačných autorít.

FAQ - nejčastější dotazy

Nejčastější dotazy k problematice SSL certifikátů a základní technické odpovědi. Jednotlivé body nápovědy se otevřou po kliknutí na nadpis.

Základní SSL certifikáty pro zajištění HTTPS komunikace

Pro zajištění bezpečné komunikace na internetu je vhodný jakýkoliv DV SSL certifikát z naší nabídky. Tyto certifikáty jsou rychle vystaveny a zajišťují základní https komunikaci, podporují SEO a vyřeší v prohlížeči negativní hlášení "Not secure" a "Spojení s tímto webem není bezpečné".

Firemní certifikáty

Firemní certifikáty, nazývané také jako OV (Organization Validation) nabízejí uvedení názvu firmy v certifikátu. Návštěvník stránek si díky uvedení firmy může ověřit, že je na správných www stránkách. Před vystavení provádí certifikační autorita validaci společnosti, tj. kontroluje existenci, provádí telefonickou validaci žadatele.

EV "zelené" certifikáty

EV certifikáty nabízí nejvyšší důvěryhodnost komunikace na internetu díky zobrazení názvu firmy v adresním řádku prohlížeče. V některých prohlížečích včetně výrazného zeleného pozadí. Pokud uvažujete o koupi firemního certifikátu, měli byste zvážit pořízení EV certifikátu s vysokou přidanou hodnotou.

CODE certifikáty

Certifikáty pro podepisování kódu jsou určeny SW vývojářům a firmám pro distribuci jejich programů po síti internet. Díky podepsání aplikace má uživatel jistotu, že stažená aplikace není podvrh a nedošlo ke změně kódu. Je potvrzena integrita obsahu. Code Signing Certifikáty obsahují identifikaci společnosti díky firemnímu ověření (OV) a zákazník si může ověřit, že software skutečně pochází od vydavatele, který jej podepsal.

Komerční SSL certifikát nebo Let's Encrypt?

Let's Encrypt je automatizovaná open source certifikační autorita, která nabízí zdarma SSL certifikáty na 3 měsíce. Pokud potřebujete zabezpečit jednoduše webové stránky a váš webhostingový poskytovatel podporuje Let's Encrypt, je to ideální volba pro rychlé a jednoduché zabezpečení. Pokud poskytovatel službu Let's Encrypt nepodporuje a potřebujete zabezpečenou HTTPS komunikaci, volte z nabídky nejlevnějších SSL certifikátů. Cena za SSL certifikát validovaný zasláním e-mailu (DV certifikáty) na rok či dva je v řádech stokorun.

Nevíte jaký SSL certifikát vybrat?

Nabídka SSL certifikátů je široká a rozhodnutí jaký certifikát zvolit může být složité. V tom případě se nezatěžujte rozhodováním a kontaktujte nás s vašimi požadavky. Rádi Vám poradíme a nabídneme vhodný certifikát pro potřeby vašeho projektu!

 

Objednávka SSL certifikátu

Proces objednávky probíhá následujícím způsobem:

 • Výběr SSL certifikátu
 • Volba počtu roků, vyplnění požadovaných údajů, potvrzení objednávky.
 • Pokud nebyl v době objednávky vložena žádost o certifikát (CSR, veřejný klíč), lze dodat dodatečně nebo vygenerovat v administraci.
 • Uhrazení objednávky on-line nebo na základě výzvy.
  Informace k úhradě jsou zaslány s potvrzením objednávky. Na požádání je možné vystavit fakturu k úhradě.
 • Po zaevidování platby dojde k objednání certifikátu u Certifikační autority (CA).
 • Provedení validace žádosti o certifikát certifikační autoritou.
 • Po úspěšné validaci je SSL certifikát vystaven a zaslán na Admin kontakt e-mailem. Bude k dispozici ke stažení také v administraci.
 • Instalace SSL certifikátu.
Musím mít v době objednávky CSR?

CSR, nebo-li žádost o certifikát můžete vložit do objednávky později nebo si jej sami jednoduše vygenerujete v detailu objednávky certifikátu v administraci.

Za jak dlouho bude certifikát vystaven

Orientační doba vystavení certifikátu je uvedena v ceníku a odpovídá ideálnímu průběhu validace. V případě firemních certifikátů (OV/EV) je potřeba počítat s tím, že CA nemusí mít k dispozici dostatek podkladů a vyžádá si jejich doplnění, což prodlužuje dobu vystavení.
Vystavení DV (Doménová Validace) certifikátů je naopak velmi rychlé. Po objednání certifikátu u CA je zaslán e-mail na vybranou adresu a jakmile se potvrdí, je certifikát vystaven.

Kde získám vystavený certifikát

Certifikační autorita po vystavení certifikátu informuje administrativní kontakt a na technický kontak zasílá vystavený certifikát, včetně dalších certifikátů potřebných pro správné fungování na serveru. Veškeré certifikáty jsou také ke stažení v administraci - Detail certifikátu.

Jak obnovit SSL certifikát?

Obnova SSL certifikátu je jako zakoupení nového. Cca měsíc před expirací je zasíláno upozornění na obnovu certifikátu. Pro obnova SSL certifikátu je vždy nutné vygenerovat nové CSR!

Jak převést SSL certifikát k SSLmentor?

V případě expirace SSL certifikátu u stávajícího poskytovatele lze jednoduše provést objednávku nového certifikátu. Pokud se objedná stejný typ certifikátu od stejné Certifikační autority, bude platnost nového SSL prodloužena na stejné období jako u původního poskytovatele.

 

Kdy žačít obnovovat certifikát?

Webové SSL/TLS certifikáty lze obnovit již od 90 dnů před expirací a nevyčerpané období se přičte k nově vystavenému. Doporučujeme tedy zahájit obnovu co nejdříve obdržíte notifikaci o expiraci.

Co dělat když certifikát vyexpiroval?

Expirace SSL certifikátu je nepříjemná věc, která se občas stává. Pokud obnovujete doménový (DV) certifikát, lze nový získat během minut od objednání a uhrazení.
V případě expirace OV/EV certifikátu není možné neprodleně zíslat nový SSL certifikát. Doporučujeme zajistit dočasné řešení SSL certifikátem ZDARMA nebo zakoupení doménového SSL certifikátu. Dočasný certifikát se může nasadit a zajistit tak bezproblémové zobrazování internetových stránek návštěvníkům a poté dořešit získání firemního SSL cerifikátu.

 

Co je to CSR?

CSR (Certificate Signing Request) je žádost o certifikát s veřejným klíčem. CSR obsahuje informace, které jsou zahrnuty v certifikátu, jako je název organizace, název domény, název země. Současně s veřejným klíčem se generuje i privátní klíč, který musí být bezpečně uložen. Generování klíčů je možné zajistit například pomocí OpenSSL knihovny, převážně tuto činnost vykonávají administrátoři serveru, kde je doména provozována. K dispozici jsou i veřejné online generátory, které však nedoporučujeme používat.

Jak generovat žádost o certifikát - CSR

Žádost o certifikát obsahuje veřejný klíč a informace o žadateli (firmě). Ty musí odpovídat údajům o žadateli v objednávce.

Při generování veřejného klíče se zadávají následující informace (za šipkou je uveden příklad vyplnění):

 • Common name [CN]: název domény -> www.sslmentor.cz
 • Organization [O]: přesné jméno firmy, majitele domény -> Web security s.r.o.
 • Organizational unit [OU]: oddělení společnosti -> internet / e-shop / it / ...
 • City/locality [L]: město -> Brno
 • State/province [S]: stát, provincie -> Czech republic
 • Country/region [C]: kód země podle normy ISO -> CZ
 • Key Size: 2048 bit

Výsledná žádost je v textovém formátu. Začíná -----BEGIN CERTIFICATE REQUEST----- a končí -----END CERTIFICATE REQUEST-----.

Generování CSR v detailu objednávky

Vygenerování žádosti o certifikát, včetně privátního klíče, lze jednoduše provést v Administraci -> Detail objednávky -> CSR.
Žádost je generována na základě informací v objednávce. Současně se generuje i privátní klíč. Privátní klíč neuchováváme, je potřeba si jej neprodleně a bezpečně uložit.

Generování CSR na serveru Apache s OpenSSL

Klíče se generují pomocí příkazu.

openssl req –new –newkey rsa:2048 –nodes –keyout server.key –out server.csr

 

Co dělat, když potvrzovací e-mail není k dispozici

Na základě pravidel C&B fóra lze zasílat potvrzovací e-maily pouze na nabízené adresy domény admin@, administrator@, webmaster@, hostmaster@ nebo postmaster@. Volbu potvrzovacího e-mailu lze v administraci upravit. Jakmile je zajistěn fungující příjem e-mailu, zašleme nový ověřovací e-mail.
Je možné také využít alternativní způsob validace pomocí FTP souboru nebo DNS záznamu. Vše lze nastavit v detailu objednávky.

Telefonická validace žadatele

Certifikační autorita provádí verbální validaci firemních certifikátů telefonním hovorem. Toto ověření probíhá standardně v anglickém jazyce a pracovník CA se dotazuje na běžné věci jako název společnosti, název domény, ověřuje si, zda bylo žádáno o certifikát. Tento telefon je krátký a zvládne jej i osoba s minimální znalostí anglického jazyka.

Co je to D-U-N-S

D-U-N-S (Data Universal Numbering System) je unikátní identifikační devítimístný číselný znak zavedený společností Dun & Bradstreet. Číslo má každý podnikatelský subjekt v České republice a v databázi jsou uvedeny základní údaje běžné z obchodního rejstříku. Velmi důležité je uvedení správného telefonního čísla, které certifikační autority považují za autoritativní pro provedení validace. Aktualizace se provádí na stránkách bisnode.sk (formulář „Žádost o D&B D-U-N-S číslo“ se používá i pro aktualizaci).

 

Co je potřeba pro správnou instalaci

Pro správnou instalaci certifikátu na server musíme mít k dispozici u sebe nebo na serveru uložený privátní klíč. Dále certifikát od certifikační autority (veřejný klíč) a současně intermediate (mezilehlé) certifikáty. Certifikační autoriza veškeré potřebné certifikáty zasílá dohromady při vystavení certifikátu, případně je možné intermediate certifikáýty stánout na stránkách autorit.

Jak ověřit správnost instalace

Ideálním způsobem jak ověřit správnou funkci nainstalovaného SSL certifikátu je jeho ověření pomocí některého z nástrojů, které jsou k dispozici v nabídce MENU -> Podpora -> SSL nástroje. Kontrola správné funkce SSL certifikátu by měla být provedena vždy, nejlépe neprodleně po instalaci. Kromě kontroly instalace a řetězce důvěry, kdy se zjišťuje zda nechybí ev. mezilehlý (intermediate) certifikát, je výsledkem testu i nastavení serveru a jeho náchylnost na různé útoky a chyby.

Certifikát je nedůvěryhodný

Po instalaci certifikátu se může stát, že prohlížeč zobrazí informace o nedůvěryhodnosti certifikátu či neznámém vystavovateli. Velmi pravděpodobně je "porušena" linie důvěryhodnosti, která se zajišťuje instalací Intermediate certifikátu od certifikační autority. Tím se zajistí tzv. řetěz důvěry a problém je odstraněn. Zda chybí některý z mezilehlých certifikátů zjistíte pomocí ověření instalace.

Lze použít certifikát na jiném serveru či více serverech?

Většina námi nabízených Certifikačních autorit nabízí použití certifikátů na neomezeném počtu serverů. Pokud je počet omezen, hledejte informace v detailu objednaného certifikátu. Je možné také certifikát migrovat z jednoho serveru na druhý, což lze zajistit exportem privátního a veřejného klíče z původního serveru.

 

Co je to REISSUE certifikátu

Někdy se může stát, že z nějakého důvodu se nezdaří instalace certifikátu, zhavaruje server či se "ztratí" privátní klíč a nelze nainstalovat či vyexportovat kompletní certifikát. Pro tyto skutečnosti Certifikační autority nabízejí tzv. REISSUE certifikátu, což je kompletní opětovné vystavení certifikátu. Toto vystavení je zcela ZDARMA, podmínkou je, že nová žádost o certifikát musí být na totožné údaje jako byla původní.

Lze změnit údaje v certifikátu?

Údaje ve vystaveném certifikátu již není možné měnit.

Přidání SAN do certifikátu

Během objednávky SAN SSL certifikátu lze vložit všechny požadované domény. Další domény je však možné do certifikátu doplňovat i během platnosti. Pro doplnění dalších domén kontaktujte podporu SSLmentor. V případě vyčerpání objednaného počtu SAN je nutné uhradit další navýšení podle ceníku.

 

CODE certifikáty

Code Signing Certifikáty jsou určeny pro sofwarové společnosti a vývojáře k podepisování programů a kódu. Jedná se o OV certifikáty (firemní ověření) a dochází ke stejnému procesu ověření jako u webových OV certifikátů.

Generování žádosti

Po uhradení objednávky je zaslaný zákazníkovi odkaz na generovanie kľúčov a vytvorenie finálnej objednávky u certifikačnej autority. Aktuálne je možné generovať kľúče iba v starom prehliadači IE alebo je možné dodať vlastnú vygenerovanú žiadosť, napríklad v OpenSSL. Je potrebné generovať s minimálnou silou kľúča > 3kb! Po ocertifikování se klíče spárují a následně podle potřeb vyexportují do potřebného formátu k podepisování aplikací (např .pfx).

Windows SmartScreen

SmartScreen Reputation je nástroj společnosti Microsoft, který poskytuje anonymní údaje od komunity, aby uživatelům zajistil bezpečnost při stahování souborů z internetu. Je to jakýsi hlídač dobré pověsti v ekosystému Windows. Podrobněji o Windows Smartsreen Filteru.

EV CODE certifikáty

Vyřešení kontroly Windows SmartScreen filtru zajistí EV Code certifikát. Ten je dodáván pouze na USB tokenu a doručen až po kompletním ověření společnosti. Po vystavení je zaslán e-mailem PIN k tokenu a informace o zásilce. Je možné, že může být při dodání požadováno proclení. Doba vystavení a doručení Code certifikátu od objednání je minimálně 10 dnů a více.

 

CA/Browser fórum

CA/Browser fórum je sdružení certifikačních autorit, tvůrců prohlížečů a operačních systémů, které definuje pravidla v oblasti internetové bezpečnosti týkajících se https komunikace a vystavování certifikátů.

CAA záznam

CAA záznam (Certification Authority Authorization) je záznam v DNS zóně domény, který říká jaká certifikační autorita má povoleno vystavit SSL certifikát k doméně. CAA záznamy jsou dalším dílkem k vyšší bezpečnosti na internetu.

Certificate Revocation List (CRL)

Certificate Revocation List obsahuje seznam certifikátů, které byly zneplatněny během své platnosti. Každá certifikační autorita vkládá do svého seznamu vydané a již nedůvěryhodné certifikáty, kde bylo požádáno o zneplatnění, například z důvodu kompromitace privátního klíče. Revocation List tak umožňuje ověřit platnost certifikátu.

 

SSLmentor doporučuje

Nenašli jste odpověď na vaši otázku?

Neváhejte nám napsat alebo zavolat! Rádi vám poradíme v oblasti SSL certifikátů alebo zabezpečení www stránek. Máme více než 10 leté zkušenosti. SSLmentor je tu pro Vás!