## page was renamed from Instalace a správa/Certifikáty vlastních certifikačních autorit
= Certifikáty a certifikační autority =

== Jak fungují certifikáty? ==

Klíčovou součástí protokolů SSL/TLS pro zabezpečenou komunikaci je mechanizmus, v rámci kterého se server prezentuje certifikátem, který '''prokazuje jeho identitu'''. Tento certifikát zaručuje, že komunikujete s pravým serverem na určité adrese, a nikoliv s někým, kdo se za něj jen vydává.

V případě 1CLICKu se zabezpečená SSL/TLS komunikace používá zejména při '''komunikaci s poštovními servery IMAP a SMTP'''.

Aby to celé fungovalo, musí být certifikát opatřen '''podpisem "certifikační autority"''', které důvěřujete.

Bez podpisu takové autority je certifikát tzv. '''"nedůvěryhodný"''', protože si ho mohl vystavit kdokoliv, klidně i útočník.

== Proč jsou nedůvěryhodné certifikáty nebezpečné? ==

S nedůvěryhodným certifikátem bohužel prakticky '''zaniká i zabezpečení spojení'''.

Útočník totiž může snadno vydávat svůj podvržený falešný server za server reálný. Pokud to udělá, budete sice komunikovat šifrovaně, ale přímo s útočníkem!! A útočník veškerou vaší komunikaci obratem předá reálnému serveru, takže z vašeho pohledu bude vypadat vše normálně. Jen komunikace bude procházet skrz server útočníka, který jí může číst či dokonce pozměňovat.

== Jakým certifikačním autoritám 1CLICK standardně důvěřuje? ==

1CLICK při SSL/TTS komunikaci automaticky důvěřuje certifikátům vydaným a podepsaným '''obecně známými certifikačními autoritami''' jako Verisign, Thawte, Symantec, Comodo, !GlobalSign, !GeoTrust atd.

Dá se říct, že pokud jste si od někoho pořídili komerční SSL certifikát, 1CLICK ho bude akceptovat a bude ho považovat za důvěryhodný.

== Jak zařídit, aby 1CLICK důvěřoval i jiné certifikační autoritě? ==

Nezřídka se používají i vlastní certifikační autority. Místo toho, aby jste certifikáty kupovali od obecně uznávaných komerčních autorit, uděláte si autoritu vlastní a začnete si vydávat vlastní certifikáty. Pokud to uděláte správně (zejména uchráníte-li privátní klíče této své autority), tento postup je zcela v pořádku. Jen je potřeba všechny komunikující strany (v našem případě 1CLICK) '''o této certifikační autoritě informovat''', aby jí důvěřovaly a byly schopné ověřovat její podpisy.

Technicky se to provádí nahráním certifikátu této certifikační autority na nějaké speciální místo.

V případě 1CLICKu jde o adresář '''{{{ssl_certs}}} v datovém adresáři Vaší instalace'''. Máte-li vlastní certifikační autoritu, jednoduše vezměte její certifikát, nahrajte ho do tohoto adresáře a restartujte 1CLICK. Certifikát musí být uložen v souboru s příponou {{{.pem}}}, {{{.crt}}} nebo {{{.cer}}} a musí být ve formátu X.509 s kódováním DER nebo Base64.