Slovník SSL pojmů

CRL

CRL (Certificate Revocation List) je seznam zneplatněných certifikátů, které zveřejňuje vydávající certifikační autorita. Certifikáty jsou zpravidla zneplatňeny na základě žádosti jejich držitele nebo jiných subjektů. Nejčastěji se o zneplatnění certifikátu žádá z důvodu kompromitace (prozrazení) soukromého klíče (private key).

CSR

CSR (Certificate Signing Request) je veřejný klíč, který slouží certifikační autoritě (CA) k jeho podepsání a vystavení SSL certifikátu. CSR vystavuje správce serveru, na kterém je hostována doména, pro kterou má být SSL certifikát vystaven.

Certifikační Autorita

Certifikační Autorita (CA) je zpravidla nezávislý subjekt, který vydává digitální (SSL) certifikáty. SSL certifikáty vydává podepsáním veřejného klíče žadatele pomocí svého veřejného klíče, který je považován za důvěryhodný. Mezi certifikační autority patří například Symantec (VeriSign), GeoTrust, Thawte, RapidSSL, Comodo či TrustWave.

Common Name

Common Name (CN) je název subjektu, pro který je vystaven SSL certifikát. Nejčastěji se jedná o název domény (např. www.alpiro.cz). U Wildcard ceritifikátů je CN ve tvaru *.alpiro.cz. CN může být i e-mailová adresa (osobní digitální ceritifikát).

DV

DV (Domain Validation), tj. ověření domény, je metoda ověření vlastníka domény, pro kterou je podána žádost o SSL certifikát. Certifikační autorita nejčastěji automatizovaným procesem ověří Vaše oprávnění, zda vůbec máte oprávnění o SSL certifikát pro konkrétní doménu žádat. Ověření domény je otázkou několika minut. SSL certifikáty s DV však neobsahují informace o vlastníkovi, ale jen potvrzení, že žadatel o SSL certifikát je vlastníkem nebo oprávněnou osobou. Chcete SSL certifikát s DV?

Digitální certifikát

Digitální certifikát (nebo také SSL certifikát) je digitálně podepsaný veřejný šifrovací klíč ve formátu X.509, který vydává certifikační autorita. Digitální certifikáty slouží mj. k ověření identity protistrany při navázání zabezpečené komunikace (např. HTTPS). Na základě principů důvěry mohou být důvěřovány neznámé digitální (SSL) certifikáty, které jsou podepsané důvěryhodnou certifikační autoritou.

Digitální podpis

Ověření digitálního podpisu e-mailu Digitální podpis zaručuje identitu, nezpochybnitelnost a integritu informací. Digitálně můžete podepsat mj. například e-mail nebo PDF dokument (smlouvy, faktury atd). V obou případech je garantováno, že informace pocházejí od uvedeného odesílatele a že obsah ani přílohy nebyly na cestě mezi odesílatelem a příjemcem pozměněny třetí osobou. Díky těmto vlastnostem digitální podpis v mnoha firmách zcela nahrazuje ruční podpis. Nepleťte si digitální podpis a elektronický podpis. Zatímco pro digitální podpis potřebujete tzv. ID certifikát, elektronický podpis je zpravidla pouze vizuální grafický obrázek ručního podpisu, který nezaručuje integritu informací.

Doména

Doména (internetová doména), odborně jako "FQDN" (Fully Qualified Domain Name), v oblasti SSL také jako "CN" (Common Name), je název webového hostitele, který se skládá z jednotlivých úrovní oddělených tečkami a označených číselně z prava, např. www.alpiro.cz je doména, která se skládá ze tří částí (úrovní), kde "cz" je doména I. úrovně, "alpiro" doména II. úrovně a "www" doména III. úrovně. Úrovní může být více. Nejznámější domény I. úrovně jsou com, eu, asia, net, cz atd.

EV

EV (Extended Validation), nebo také "Rozšířené Ověření" je proces nejdůkladnějšího ověření žadatele o SSL certifikát. Kromě DV a OV ověření je provedeno navíc ověření, zda má žádatel právní nárok na využívání internetové domény, je provedeno telefonické ověření na telefonním čísle zjištěném v nezávislém a důvěryhodném telefonním seznamu a ověření totožnosti samotného žadatele. Nespornou výhodou SSL certifikátů s EV je zelený adresní řádek v prohlížeči. Chcete SSL certifikát s EV?

FQDN

Anglicky Fully Qualified Domain Name (FQDN), tedy plně kvalifikované doménové jméno, často nazývané pouze jako "doména" nebo "doménové jméno", například domény: ssls.cz, www.ssls.cz, mail.ssls.cz.

HTTP

HTTP (HyperText Transfer Protokol) je protokol pro výměnu informací ve formě dokumentů publikovaných počítačových v sítích, zpravidla internetu nebo místních sítích. Pro spojení obvykle používá port TCP/80. V současnosti pomocí rozšíření MIME umožňuje přenášet kterýkoliv souborový formát a sdílet tak další multimédia. Zajímá Vás více o protokolu HTTP?

HTTPS

HTTPS (HyperText Transfer Protocol Secured), tj. zabezpečený HTTP protokol slouží k zabezpečenému přenosu informací, zpravidla na portu TCP/443. Ke komunikaci se používá zabezpečení SSL nebo TLS. Chcete vědět více o HTTPS?

IP adresa

IP adresa je kombinace čísel ve formátu pro IPv4 nebo IPv6 a představuje jednoznačný identifikátor serveru pro komunikaci přes protokol TCP/IP. Pro zabezpečení komunikace je nutné mít pro každý SSL certifikát vlastní IP adresu nebo použití SNI technologie. Zabezpečení více domén na jedné sdílené IP adrese je možné vyřešit pomocí tzv. SAN certifikátů, díky kterým můžete na jediné IP adrese zabezpečit prakticky neomezené množství domén. V současnosti se používají dva typy IP adres - IPv4 (např. 89.187.142.173) a novější ale stále ne plně podporované IPv6 (např. 2a01:5f0:100d:65::1).

Intermediate certifikát

Intermediate je SSL certifikát vydávaný certifikační autoritou (CA) zaručující důvěryhodnost serverového SSL certifikátu. Intermediate certifikát musí být na serveru nainstalovaný společně se serverových certifikátem a privátním klíčem, jinak bude uživateli v prohlížeči zobrazeno varování o nedůvěryhodnosti SSL certifikátu.

OCSP

OCSP (Online Certificate Status Protocol) je internetový protokol sloužící k ověření stavu X.509 certifikátu, zejména zda certifikát nebyl revokován (zneplatněn). OCSP protokol je definován v RFC 6960 a byl vytvořen jako náhrada za starší CRL (Certificate Revocation List), který příliš nevyhovuje dnešním nárokům. OCSP komunikace probíhá na bázi dotaz-odpověď přes HTTP, načež serverům provozujícím OCSP se obecně říká OCSP Responder, který zpravidla provozuje certifikační autorita (CA), jenž vystavila X.509 certifikát. Hlavní výhodou OCSP oproti CRL jsou výrazně nižší nároky na data, protože odpověď responderu zpravidla obsahuje méně informací.

OV

OV (Organization Validation) je proces ověření žadatele o SSL certifikát na úrovni ověření společnosti nebo organizace. SSL certifikáty s OV obsahují ověřené informace o žadateli a mj. i potvrzuje jeho oprávnění používat doménu díky DV. O SSL certifikát s DV mohou žádat všechny právnické osoby (s.r.o., a.s., k.s.) zapsané v obchodním rejstříku nebo se zvláštním oprávněním, bankovní instituce, státní instituce a další subjekty. Chcete SSL certifikát s OV?

Privátní klíč

Privátní (soukromý) klíč je část šifrovacího klíče, která slouží k asymetrickému šifrování informací. Druhou částí je tzv. veřejný klíč (public key). Je-li privátní klíč kompromitován (prozrazen), musí být všechny digitální certifikáty vydané na jeho základě zneplatněny umístěním seznamu takových certifikátů v CRL (Certificate Revocation List).

SAN

SAN (Subject Alternative Name) je technologie rozšiřující jeden certifikát o jména dalších subjektů (domén), na které se vztahuje. Narozdíl od Wildcard certifikátů, které zabezpečují neomezený počet subdomén pouze na jedné doméně může SAN certifikát zabezpečit více různých domén, které jsou uvedeny v seznamu SAN. Jedním certifikátem tak lze zabezpečit například www.alpiro.cz, www.alpiro.info nebo mail.alpiro.cz.

SGC

SGC (Server Gated Cryptography) je technologie zaručující minimální 128-bit hloubku šifrování i pro prohlížeče a systémy podporující pouze 40 a 56-bit šifrování. Díky SGC je tak možné bezpečně zajistit i šifrování komunikace se staršími prohlížeči, které by si jinak nerozumněly s dnešními SSL certifikáty.

SNI

SNI (Server Name Indication) je technologie rozšiřující možnosti komunikace mezi serverem a klientem pomocí TLS komunikace na základě ověření jména hostitele namísto IP adresy hostitele. Díky tomu může být na serveru s jedinou IP adresou hostováno více domén s SSL/TLS zabezpečením. Čtěte více o SNI.

SSL

SSL (Secure Socket Layer) je protokol, který mezi vrstvu transportní (TCP/IP) a vsrtvu aplikační (HTTPS) vloží další vrstvu, která poskytuje zabezpečení komunikace šifrováním a umožní autentizaci (ověření totožnosti) komunikujících stran.

Self-signed

Self-signed SSL certifikát je doslovně přeloženo SSL certifikát podepsaný sám sebou. Jedná se o SSL certifikáty, které si může vystavit kdokoliv pomocí celé řady nástrojů dostupných zdarma. Self-signed certifikáty však mají tu zásadní nevýhodu, že nejsou podepsány důvěryhodnou certifikační autoritou, a tudíž se při jejich použití v prohlížeči zobrazí varování o nedůvěryhodném SSL certifikátu a návštěvníci webu jsou tak rychle odrazeni a raději web opustí.

TLS

TLS (Transport Layer Security) je kryptografický protokol, který je nástupcem protokolu SSL. SSL verze 3.0 se od protokolu TLS verze 1.0 prakticky neliší, až na drobné rozdíly. TLS například narozdíl od SSL protokolu umožňuje začít komunikaci v čistém nešifrovaném formátu a tak nasadit šifrované zabezpečení na servery, které hostují více domén na jedné IP adrese (tzv. VirtualHost). Tyto servery pak pomocí SNI mohou pomocí SSL/TLS zabezpečit komunikaci pro více domén bez nutnosti pro každou vyhradit vlastní veřejnou IP adresu.

UC

UC (Unified Communication) je název použitý výrobci softwaru pro technologii SAN, například v otázce zabezpečení Exchange Serveru. Význam je zcela stejný. UC/SAN SSL certifikáty →

VirtualHost

VirtualHost je metoda hostování webového obsahu na serveru, která umožňuje poskytovat konkrétní obsah na základě názvu hostitele (internetové domény). Díky této technologii je možné na serveru s jednou IP adresou hostovat více domén. Hledáte návod, jak nainstalovat SSL certifikát na webový server s VirtualHost? Také Vás může zajímat SNI.

Wildcard

Wildcard je označení pro SSL certifikáty platné pro domény s tzv. asteriskem, tedy symbolem * (hvězdičky), který představuje libovolné znaky. Například certifikát vydaný pro *.alpiro.cz může být použit pro neomezený počet domén III. řádu (subdomén) na doméně alpiro.cz, tedy mj. www.alpiro.cz, ssl.alpiro.cz, eshop.alpiro.cz, mail.alpiro.cz atd. Nespornou výhodou je zejména to, že pro zabezpečení komunikace více subdomén postačí jediný certifikát a není nutné pro každou vystavovat vlastní.

Máte dotaz?
Napište nám
Nenašli jste odpověď na svůj dotaz na stránce Časté dotazy?
Jméno a příjmení: E-mail:
Odesílám…Odeslat
SSL