Novinky u SSL certifikátů - lepší parametry a kontrola

28. 12. 2015 | Jindřich Zechmeister

SSL certifikáty a bezpečnost webu jsou oblastmi, které se neustále vyvíjí. Digitální certifikáty musí reagovat na aktuální požadavky zákazníků a proto jsou průběžně vylepšovány o nové funkce. Pojďme se společně podívat, co je u SSL certifikátů nového a co je čeká v budoucnu.

Kompletní podpora Certificate Transparency

Certificate Transparency je bezpečnostní funkce (původem od Google), která pomáhá sledovat a auditovat vystavování certifikátů. V tuto chvíli jsou zveřejňovány pouze EV certifikáty rodiny Symantec. V důsledku tato funkce pomáhá zamezit Man-in-the-middle útokům s falešným (neautorizovaným) certifikátem.

Všechny vystavené certifikáty jsou publikovány ve veřejném logu (záznamu), který je nezávisle spravován a zrcadlen na více nezávislých serverech, aby nemohlo dojít k jeho podvržení. Každý se může podívat, jaké certifikáty CA vystavila, protože je zveřejněn záznam. Užitečné je to zejména pro majitele domén, kteří si mohou ověřit, zdali pro jejich doménu někdo nevystavil certifikát bez jejich vědomí.

Certificate Transparency budou od začátku roku 2016 podporovat i DV a OV certifikáty rodiny Symantec. Bude tím zajištěna jejich větší transparentnost, která je nutná zejména u DV certifikátů s nejnižším (doménovým) ověřením.

Zvýšení počtu SANů v certifikátech Symantec a Thawte

Možnost použití více různých domén v jednom certifikátu už jistě znáte; říká se jim SAN a v naší nabídce najdete certifikáty podporující SAN již dlouho. Původně byl počet SANů v jednom certifikátu omezen na 24. GeoTrust zvýšil tento limit u svých SSL certifikátů až na plně dostačujících 100 SANů; u Symantec a Thawte certifikátů limit zůstal zachován.

Nyní se maximální počet SANů ve všech certifikátech srovnal a všechny certifikáty Symantec (podporující SAN) mohou pojmout až 100 DNS názvů navíc. Naše objednávka s tím už počítá.

Automatické doplnění druhého tvaru domény

Certifikační autority Symantec už několik let přidávají druhý tvar domény zdarma jako SAN. Naši zákazníci si určitě pamatují známé pravidlo, že certifikát je nutné objednat s WWW u domény, aby druhý tvar (tzv. holá doména) byl v certifikátu také.

Nyní dochází ke zjednodušení a princip funguje i naopak; při objednání "holé" domény dostanete tvar s WWW automaticky také. Znamená to méně starostí s CSR a s objednávkou.

Můžete využít CAA záznam v DNS

CAA záznam v DNS je způsob, jakým můžete v DNS zóně určité domény speficikovat, která certifikační autorita může pro tuto doménu certifikát vystavit. Pokud by někdo žádal o certifikát pro stejnou doménu u jiné CA, bude mít tato CA povinnost si záznam zkontrolovat a vystavení odmítnout.

Podpora zatím není ze strany všech autorit dokonalá, ale tento princip bude fungovat závazně. Symantec CAA záznamy již používá a řídí se jimi.

Konec podpory SHA-1 u certifikátů a aplikací

Tento odstavec není novinkou, ale ukončení podpory SHA-1 si zaslouží připomenutí. Příští rok bude pro zastaralý hashovací algoritmus SHA-1 konečný. Softwarové produkty ukončují jeho podporu a nebude se dále používat. Certifikační autority už nebudou vystavovat certifikáty s SHA-1. 

Prohlížeče budou upozorňovat na nedůvěryhodnost certifikátu a spojení, později budou SHA-1 certifikáty a jimi podepsaný software zcela blokovat. Více informací najdete například v prohlášení Mozilly či Microsoftu. V roce 2017 se má konečně završit proces ukončení podpory SHA-1  zahájený už v roce 2011.

SSL certifikáty už dlouho vystavujeme s SHA-2 jako výchozím podpisovým algoritmem. Pokud je váš certifikát starší a stále používá SHA-1, neváhejte si v naší administraci nechat certifikát zdarma vystavit znovu s SHA-2 (tento krok se jinak nazývá přegenerování certifikátu, anglicky reissue). Pak nemusíte řešit, zdali některý z prohlížečů bude na vašem webu návštěvníky upozorňovat na nedůvěryhodnost certifikátu. 

Jaké novinky můžeme očekávat v roce 2016?

Na závěr vám krátce umožníme nahlédnout na novinek, které Symantec v přístím roce chystá. Očekáváme další novinky u SANů a podporu hvězdičky (Wildcardu), která přispěje k větší variabilitě SAN certifikátů. CAB forum též přemýšlí nad Wildcard EV certifikáty; rozhodnutí zatím nepadlo, ale možná se jich dočkáme. Certifikační autority také zvažují zkrácení maximální platnosti certifikátů ze tří let na roky dva.

Budete moci využít ECC Hybrid chain u ECC certifikátů. To znamená, že váš ECC certifikát (leaf) může být podepsán Intermediatem s RSA a můžete ho tak snadněji nasadit na produkční web. Kombinace algoritmů pomůže odstranit překážky bránící rozšíření ECC na starších systémech.

Doufáme, že se budou nové funkce hodit a ukončení podpory SHA-1 v certifikátech se vás nijak nedotkne. Pokud budete cokoliv potřebovat, neváhejte se obrátit na zákaznickou podporu SSLmarketu.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz