1. Domů
  2. Nápověda
  3. Ostatní články a návody
  4. Slovníček pojmů SSL/TLS certifikátů
{"copy":"Zkop\u00edrovat","expand":"Rozbalit","collapse":"Sbalit","copy_success":"Zkop\u00edrov\u00e1no!","copy_error":"Kop\u00edrov\u00e1n\u00ed selhalo!"}

Slovníček pojmů

V této sekci nápovědy naleznete slovníček základních pojmů, na které můžete narazit v souvislosti s SSL certifikáty a našimi službami. V případě, že daný pojem, který potřebujete vysvětlit, v seznamu nenajdete, kontaktujte nás, rádi jej vysvětlíme a doplníme.

Slovníček pojmů
Automatic Certificate Management Environment (ACME) je protokol pro automatické získávání a správu SSL/TLS certifikátů. Umožňuje serveru komunikovat s certifikační autoritou bez zásahu administrátora a automaticky instalovat či obnovovat certifikáty. Tuto automatizaci zajišťují tzv. ACME klienti – nástroje (např. Certbot nebo acme.sh), které běží přímo na serveru. Díky automatizaci eliminuje riziko expirovaných certifikátů a šetří čas i peníze. Více o ACME a jeho použití pro webové servery se dočtete zde.
Certifikační autorita (CA) je subjekt, který vydává digitální certifikáty (elektronicky podepsané veřejné klíče). Autorita před vydáním potvrzuje pravost údajů zadaných v certifikátu. V naší nabídce naleznete certifikáty certifikační autority DigiCert, která spravuje a vydává certifikáty těchto značek: Secure Site, Thawte, GeoTrust a RapidSSL. Tyto certifikační značky jsou plně důvěryhodné, takže jejich certifikáty nezpůsobují žádná bezpečnostní varování prohlížeče jako nedůvěryhodné nebo tzv. self-signed certifikáty.

Pokud nevíte, pro který certifikát se rozhodnout, využijte našeho Průvodce výběrem SSL certifikátu.
Certification Authority Authorization (CAA) je DNS záznam, který umožňuje majiteli domény určit, které certifikační autority smí vydávat SSL/TLS certifikáty pro jeho doménu. Slouží jako ochrana proti neoprávněnému vydání certifikátů třetími stranami. Od září 2017 jsou všechny veřejné CA povinny kontrolovat CAA záznamy před vydáním certifikátu. Implementace CAA zvyšuje bezpečnost a poskytuje větší kontrolu nad správou certifikátů.
Jako Common Name se v SSL certifikátu označuje doména, pro kterou je certifikát vystaven. Common name je například www.domena.cz. V Code Signing certifikátu pro podpis aplikací je v poli Common name uveden ověřený název organizace, pro kterou je certifikát vystaven.
Certificate Revocation List (CRL) je seznam certifikátů, které byly zrušeny během své platnosti a nejsou již důvěryhodné. Důvodem předčasného zrušení je většinou kompromitace privátního klíče. Tento seznam vydává pro své certifikáty každá certifikační autorita a uveřejňuje ho na svém webu. Tento seznam slouží pro ověření platnosti certifikátu.
DigiCert KeyLocker je cloudové řešení pro bezpečnou správu privátních klíčů Code Signing certifikátů. Poskytuje FIPS 140-2 Level 3 certifikované úložiště klíčů jako alternativu k fyzickým USB tokenům. Umožňuje podepisování kódu odkudkoliv s přístupem kdykoliv, bez nutnosti investice do vlastního HSM modulu. Ideální pro vývojáře a týmy, kteří potřebují bezpečné a flexibilní řešení pro Code Signing.
Digicert Trust Lifecycle Manager (TLM) je platforma od DigiCert pro centralizovanou správu životního cyklu digitálních certifikátů a PKI. Umožňuje vydávání, obnovu a zneplatnění certifikátů z jednoho místa. Zajišťuje automatizaci procesů a notifikace před expirací. Podporuje různé typy certifikátů (veřejné i soukromé) a integrace s existujícími systémy. TLM může být nasazen v cloudu, on-premise nebo hybridně.
Bezpečnější a modernější nástupce komunikačního protokolu SCEP, který umožňuje IoT zařízením automaticky získávat a obnovovat digitální certifikáty přes zabezpečené HTTPS spojení.
Intermediate certifikát je certifikát autority, který je na serveru nezbytný pro plnou důvěryhodnost vašeho SSL certifikátu. Pokud na serveru nebude nainstalován, bude se návštěvníkům zobrazovat varování o nedůvěryhodnosti SSL certifikátu serveru. Více informací o tomto certifikátu, návody pro instalaci a možnosti jeho stažení naleznete na samostatné straně věnované Intermediate certifikátům.
SSL certifikát není na IP adresu vázán a ta tak může být v průběhu jeho provozu změněna.

Pokud potřebujete zabezpečit více domén, doporučujeme SAN certifikáty, se kterými s jednou IP adresu zabezpečíte až 250 domén.
Vystavený certifikát je možné použít pouze se správným privátním klíčem. Privátní klíč je vytvořen na serveru během tvorby žádosti o certifikát (CSR, veřejného klíče). Jedná se o nejdůležitější soubor, který nesmí za žádnou cenu opustit server a být tak kompromitován. S privátním klíčem může kdokoliv použít váš SSL certifikát, proto může být jeho získání cílem útočníků a hackerů.

V případě smazání privátního klíče nebo jeho kompromitace neváhejte kontaktovat zákaznickou podporu a certifikát zdarma přegenerovat s novým párem klíčů.
Public Key Infrastructure (PKI) neboli infrastruktura veřejných klíčů je systém technologií, pravidel a služeb pro správu digitálních certifikátů a šifrovacích klíčů, který umožňuje bezpečně ověřovat identitu osob a organizací na internetu a zajišťovat šifrovanou komunikaci.
SAN je zkratka pro alternativní jméno uvedené v SSL certifikátu, který rozšiřuje jeho platnost o další domény a názvy. Tato jména nemusí souviset s hlavní doménou (Common name). Více o SAN certifikátech naleznete na samostatné straně, kde jsou uvedeny i příklady použití SAN jmen.
Komunikační protokol, který umožňuje IoT zařízením automaticky si vyžádat a získat digitální certifikát od certifikační autority bez nutnosti ruční instalace administrátorem.
SNI (Server Name Indication) je metoda umožňující použití více domén a SSL certifikátů na jednom webovém serveru a IP adrese. Díky SNI dokáže server při připojení klienta zjistit, který z virtuálních serverů chce klient vidět, a pošle mu správný SSL certifikát pro správnou doménu. Bez podpory SNI by klientovi poslal libovolný certifikát, protože by nevěděl, kterou doménu chce vidět.
Protokol SSL zabezpečuje šifrováním komunikaci mezi serverem a návštěvníkem. Při použití tohoto protokolu je veškerá komunikace šifrovaná a nemůže být odposlouchávána. Použití SSL protokolu a šifrování poznáte podle HTTPS v adrese a indikátoru zabezpečení v adresním řádku, kde lze zobrazit podrobnosti o certifikátu a šifrování.
Při navazování spojení prohlížeče se serverem přes protokol HTTPS je potřeba domluvit podmínky komunikace, zejména hloubku šifrování. Tento "seznamovací" proces je označován jako tzv. SSL handshake. Během něho je návštěvníkovi poslán SSL certifikát a stanovena hloubka šifrování komunikace.
TLS je šifrovací a komunikační protokol, který nahradil protokol SSL. Oba protokoly fungují podobně, ale protokol TLS využívá pro zabezpečené i nezabezpečené spojení jeden port, který není třeba měnit při zapnutí šifrování.
Označení UC (Unified Communication) certifikát je synonum pro SAN certifikát; tento název je používán zejména výrobci softwaru. Funkce je stejná jako u SAN certifikátu.
Veřejný klíč (CSR) je nezbytný k vystavení SSL certifikátu. Tento veřejný klíč vám vygeneruje správce Vašich stránek (webhostingová společnost) nebo přímo administrátor serveru, kde je umístěna doména, na kterou se SSL certifikát vystavuje. Rovněž si jej můžete nechat vytvořit v detailu své objednávky.

Více informací a postupy pro generování veřejného klíče naleznete v samostatném článku o veřejném klíči.
Wildcard je typ SSL certifikátu, který umožňuje zabezpečit všechny subdomény pod jednou hlavní doménou. Wildcard certifikát obsahuje před názvem hlavní domény hvězdičku (např. *.sslmarket.cz) a zabezpečuje všechny domény nižšího řádu na místě hvězdičky (subdomény hlavní domény). Více o Wildcard certifikátech naleznete v kategorii Wildcard certifikátů.

V případě potřeby neváhejte kontaktovat naši zákaznickou podporu, která vám pomůže s výběrem certifikátu a jakýmkoliv dotazem.
X9 PKI je standardizovaná PKI definovaná americkou finanční organizací ANSI X9, používaná hlavně v bankovním a finančním sektoru k zajištění bezpečnosti platebních transakcí, výměny klíčů, certifikátů a elektronického podepisování mezi institucemi.

Přečtěte si odpovědi na nejčastější otázky

Naši certifikovaní pracovníci vám v sekci FAQ odpovídají na nejčastější otázky týkající se našeho systému SSLmarket a SSL certifikátů obecně.

Přečíst odpovědi

Byl tento článek pro vás užitečný?