Martin Pokorný - CRONAX

Webové certifikáty mohou být dvojího druhu:

1. Podepsané tzv. certifikační autoritou, t.j. nezávislou společností, která garantuje, že ten, kdo se certifikátem prokazuje, je skutečně on.
   
2. Certifikáty podepsané "sám sebou" (tzv. self-signed). Ty si může vystavit každý a zdarma.

Oba typy jsou po technické stránce stejné, šifrují webový přenos naprosto stejně kvalitně.

Kdy prohlížeče varují, že je stránka s certifikátem potenciálně nebezpečná ?

V principu jde o každou situaci, kdy je možné, že je certifikát, nebo stránka, podrvržen(a).

Prohlížeče takto vyhodnocují certifikáty ve třech hlavních případech:

1. Certifikát je podepsán samotným vystavitelem, t.j. bez certifikační autority
2. Informace z certifikátu neodpovídají webové stránce. Např. certifikátem pro www.firma.cz se prokazuje www.novak.cz
3. cerifikát má prošlou platnost
   

Zde je důležité rozlišovat důvod, proč prohlížeč hlásí nedůvěryhodnost.

Každé varování prohlížeče Vám umožní prohlédnout si certifikát, kdo ho podepsal a název stránky, která se jím prokazuje.

Může se stát, že je certifikát např. pro www.firma.cz a přistupujete na katalog.firma.cz - a prohlížeči se to už nezdá a varuje. Nejčastěji to však bývá z důvodu, že si certifikát podepsal sám vystavitel.

Téměř pravidelně je to v případech, kdy přes https ovládáte např. UPS, kamery, hardware serveru, antivirus a pod. Instalátor většinou nainstaluje certifikát výrobce - ten však netuší, jak se bude jmenovat Váš server, proto nikdy nesedí jméno https serveru.

Proč se používají certifikáty, které si podepisuje sám vystavitel ?

Jednoduše z cenových důvodů. Cerifikát můžete mít buď na jednu přesnou doménu (např. www.firma.cz, pro katalog.firma.cz musí už být druhý), nebo je možné do certifikátu uvést více subdomén (t.j. v jednom certifikátu je jak www, tak katalog). Zatímco první druh stojí cca 500Kč/rok, druhý se může vyšplhat i na 5.000Kč/rok a navíc, když chcete certifikát změnit (přidat další subdoménu), opět platíte...

Certifikáty tedy nejsou zrovna levnou záležitostí. Pro trochu "doménově košatější" společnosti to může být i několik desítek tisíc ročně.
Proto si řada společností, která takto pouze šiftuje přenos, certifikáty podepisuje sama.

Kdy je potřeba se mít skutečně na pozoru  ?

• Zejména u certifikátů serverů bank, příp. jiných peněžních ústavů
• Eshopů, kde zadáváte údaje k platební kartě
• Certifikát je vystaven pro zcela jiný web (např. certifikátem pro www.novak.cz se prokazuje www.firma.cz)
• Na jakémkoli webu, kam byste nebyli ochotni pokračovat bez šifrovaného přenosu (právě např. banky)
  

Hlavně poslední bod představuje takový ten "selký rozum". Jde o to, že pokud máte na výběr např. prohlédnout si poštu přes nešifrované http, nebo šifrované s certifikátem podepsaným sám sebou, nepředstavuje podpis sám sebou žádné nebezpečí - pokud je skutečně vystaven pro daný server.

Závěrem

Pokud se rozhodujete, zda certifikátu, před kterým prohlížeč varuje, udělit vyjímku, položte si otázku, zda byste pokračovali i bez šifrovaného přenosu informací. Pokud ne, prozkoumejte certifikát, příp. se u dané společnosti telefonicky ujistěte o tom, že si to skutečně podepsala sama (tj. že se vám někdo nesnaží podstčit jiný web se svým certifikátem). Pokud byste klidně pokračovali i bez šifrovaného přenosu, můžete klidně pokračovat, ale přesto doporučujeme si prohlédnout, že je certifikát vystaven a podepsán provozovatelem serveru.

Na weby bank a platebních systémů vůbec přes varování prohlížeče nechoďte, je tam velké riziko přesměrovaného provozu a podstrčeného certifkátu. Doporučujeme pak také informovat administrátora nebo zástupce banky!