Rozdíly mezi verzemi 2 a 15 (rozsah 13 verzí)

Certifikáty a certifikační autority

Jak fungují certifikáty?

Klíčovou součástí protokolů SSL/TLS pro zabezpečenou komunikaci je mechanizmus, v rámci kterého se server prezentuje certifikátem, který prokazuje jeho identitu. Tento certifikát zaručuje, že komunikujete s pravým serverem na určité adrese, a nikoliv s někým, kdo se za něj jen vydává.

V případě 1CLICKu se zabezpečená SSL/TLS komunikace používá zejména při komunikaci s poštovními servery IMAP a SMTP.

Aby to celé fungovalo, musí být certifikát opatřen podpisem "certifikační autority", které důvěřujete.

Bez podpisu takové autority je certifikát tzv. "nedůvěryhodný", protože si ho mohl vystavit kdokoliv, klidně i útočník.

Proč jsou nedůvěryhodné certifikáty nebezpečné?

S nedůvěryhodným certifikátem bohužel prakticky zaniká i zabezpečení spojení.

Útočník totiž může snadno vydávat svůj podvržený falešný server za server reálný. Pokud to udělá, budete sice komunikovat šifrovaně, ale přímo s útočníkem!! A útočník veškerou vaší komunikaci obratem předá reálnému serveru, takže z vašeho pohledu bude vypadat vše normálně. Jen komunikace bude procházet skrz server útočníka, který jí může číst či dokonce pozměňovat.

Jakým certifikačním autoritám 1CLICK standardně důvěřuje?

1CLICK při SSL/TTS komunikaci automaticky důvěřuje certifikátům vydaným a podepsaným obecně známými certifikačními autoritami jako Verisign, Thawte, Symantec, Comodo, GlobalSign, GeoTrust atd.

Dá se říct, že pokud jste si od někoho pořídili komerční SSL certifikát, 1CLICK ho bude akceptovat a bude ho považovat za důvěryhodný.

Jak zařídit, aby 1CLICK důvěřoval i jiné certifikační autoritě?

Nezřídka se používají i vlastní certifikační autority. Místo toho, aby jste certifikáty kupovali od obecně uznávaných komerčních autorit, uděláte si autoritu vlastní a začnete si vydávat vlastní certifikáty. Pokud to uděláte správně (zejména uchráníte-li privátní klíče této své autority), tento postup je zcela v pořádku. Jen je potřeba všechny komunikující strany (v našem případě 1CLICK) o této certifikační autoritě informovat, aby jí důvěřovaly a byly schopné ověřovat její podpisy.

Technicky se to provádí nahráním certifikátu této certifikační autority na nějaké speciální místo.

V případě 1CLICKu jde o adresář data/ssl_certs v adresáři s daty 1LICKu (1CLICK tento adresář sám založí při prvním startu). Máte-li vlastní certifikační autoritu, jednoduše vezměte její certifikát, nahrajte ho do tohoto adresáře a restartujte 1CLICK. Certifikát musí být uložen v souboru s příponou .pem, .crt nebo .cer a musí být ve formátu X.509 s kódováním DER nebo Base64.

-  ⇤ ← Verze 2 ze dne 2014-03-18 09:16:48 → 
  Velikost: 2713
  Autor: MichalJelen
  Komentář:
+   ← Verze 15 ze dne 2015-11-30 13:32:13 → ⇥
  Velikost: 3116
  Autor: RadekKamensky
  Komentář:
-Smazané věci jsou označeny takto.
+Nové věci jsou označeny takto.
 Řádek 1:
+## page was renamed from Instalace a správa/Certifikáty vlastních certifikačních autorit
-Řádek 5:
+Řádek 6:
-Klíčovou součástí protokolů SSL/TLS pro zabezpečenou komunikaci je mechanizmus, v rámci kterého se server prezentuje certifikátem, který prokazuje jeho identitu. Tento certifikát zaručuje, že komunikujete s pravým serverem na určité adrese, a nikoliv s někým, kdo se za něj jen vydává.
+Klíčovou součástí protokolů SSL/TLS pro zabezpečenou komunikaci je mechanizmus, v rámci kterého se server prezentuje certifikátem, který '''prokazuje jeho identitu'''. Tento certifikát zaručuje, že komunikujete s pravým serverem na určité adrese, a nikoliv s někým, kdo se za něj jen vydává.
-Řádek 7:
+Řádek 8:
-V případě 1CLICKu se zabezpečená SSL/TLS komunikace používá zejména při komunikaci s poštovními servery IMAP a SMTP.
+V případě 1CLICKu se zabezpečená SSL/TLS komunikace používá zejména při '''komunikaci s poštovními servery IMAP a SMTP'''.
-Řádek 9:
+Řádek 10:
-Aby to celé fungovalo, musí být certifikát opatřen podpisem tzv. "certifikační autority", které důvěřujete. Bez takového podpisu je certifikát tzv. "nedůvěryhodný", protože si ho mohl vystavit kdokoliv, klidně i útočník.
+Aby to celé fungovalo, musí být certifikát opatřen '''podpisem "certifikační autority"''', které důvěřujete.

Bez podpisu takové autority je certifikát tzv. '''"nedůvěryhodný"''', protože si ho mohl vystavit kdokoliv, klidně i útočník.
-Řádek 13:
+Řádek 16:
-S nedůvěryhodným certifikátem bohužel prakticky zaniká i zabezpečení spojení. Útočník totiž může snadno vydávat svůj podvržený falešný server za server reálný. Pokud to udělá, budete sice komunikovat šifrovaně, ale přímo s útočníkem!! A útočník veškerou vaší komunikaci obratem předá reálnému serveru, takže z vašeho pohledu bude vypadat vše normálně. Jen komunikace bude procházet skrz server útočníka, který jí může číst či dokonce pozměňovat.
+S nedůvěryhodným certifikátem bohužel prakticky '''zaniká i zabezpečení spojení'''.

Útočník totiž může snadno vydávat svůj podvržený falešný server za server reálný. Pokud to udělá, budete sice komunikovat šifrovaně, ale přímo s útočníkem!! A útočník veškerou vaší komunikaci obratem předá reálnému serveru, takže z vašeho pohledu bude vypadat vše normálně. Jen komunikace bude procházet skrz server útočníka, který jí může číst či dokonce pozměňovat.
-Řádek 17:
+Řádek 22:
-CLICK při SSL/TTS komunikaci standardně důvěřuje certifikátům vydaným a podepsaným obecně známými certifikačními autoritami jako Verisign, Thawte, Symantec, Comodo, !GlobalSign, !GeoTrust atd.
+CLICK při SSL/TTS komunikaci automaticky důvěřuje certifikátům vydaným a podepsaným '''obecně známými certifikačními autoritami''' jako Verisign, Thawte, Symantec, Comodo, !GlobalSign, !GeoTrust atd.
-Řádek 21:
+Řádek 26:
-== Jak zařídit, aby 1CLICK důvěřoval i naší vlastní certifikační autoritě? ==
+== Jak zařídit, aby 1CLICK důvěřoval i jiné certifikační autoritě? ==
-Řádek 23:
+Řádek 28:
-Nezřídka se používají i vlastní certifikační autority. Místo toho, aby jste certifikáty kupovali od obecně uznávaných komerčních autorit, uděláte si autoritu vlastní a začnete si vydávat vlastní certifikáty. Pokud to uděláte správně, tento postup je zcela v pořádku. Jen je potřeba všechny komunikující strany (v našem případě 1CLICK) o této certifikační autoritě informovat, aby ji důvěřovaly a byly schopné ověřovat její podpisy.
+Nezřídka se používají i vlastní certifikační autority. Místo toho, aby jste certifikáty kupovali od obecně uznávaných komerčních autorit, uděláte si autoritu vlastní a začnete si vydávat vlastní certifikáty. Pokud to uděláte správně (zejména uchráníte-li privátní klíče této své autority), tento postup je zcela v pořádku. Jen je potřeba všechny komunikující strany (v našem případě 1CLICK) '''o této certifikační autoritě informovat''', aby jí důvěřovaly a byly schopné ověřovat její podpisy.
-Řádek 27:
+Řádek 32:
-V případě 1CLICKu jde o adresář "ssl_certs" v datovém adresáři Vaší instalace. Máte-li vlastní certifikační autoritu, jednoduše vezměte její certifikát ve formátu PEM, nahrajte ho do tohoto adresáře a restartujte 1CLICK.
+V případě 1CLICKu jde o adresář '''{{{data/ssl_certs}}}''' v adresáři s daty 1LICKu (1CLICK tento adresář sám založí při prvním startu). Máte-li vlastní certifikační autoritu, jednoduše vezměte její certifikát, nahrajte ho do tohoto adresáře a restartujte 1CLICK. Certifikát musí být uložen v souboru s příponou {{{.pem}}}, {{{.crt}}} nebo {{{.cer}}} a musí být ve formátu X.509 s kódováním DER nebo Base64.