HTTPS u webhostingu

  Administrace, Nastavení, Webhosting

Tento článek obsahuje informace o podpoře HTTPS u webhostingu u nás, nabízených variantách a způsobu nastavení. Obecné informace a úvod do HTTPS hledejte ve článku Základy HTTPS (HTTP přes SSL).

U webhostingu nabízíme 4 varianty HTTPS:

Ve výchozím stavu je HTTPS u webhostingů vypnuté. Při přístupu na takový web přes HTTPS se vždy zobrazí chyba 404.

Pro příklady níže použijeme webhosting pro doménu example.cz, který má interní URL adresu 489.w89.wedos.ws.

Sdílený certifikát

Tato varianta je bezplatná, aktivovat si ji může kdokoliv. Pro zabezpečení je použit náš certifikát od naší certifikační autority WEDOS CA, která však není globálně důvěryhodná.

Z toho vyplývá to, že při přístupu na HTTPS přes interní doménu (XXXX.wYY.wedos.ws) i přes vaši skutečnou doménu webhostingu budou prohlížeče hlásit problém se zabezpečením, protože nebudou znát použitou certifikační autoritu. Jsou 2 možnosti řešení:

  1. Tuto chybu ignorovat a v prohlížeči schválit výjimku pro tyto stránky
  2. Nainstalovat si do vašeho PC kořenový certifikát naší certifikační autority, více ve článku Certifikační autorita WEDOS

UPOZORNĚNÍ! Sdílený certifikát není určen k tomu, abyste své stránky zabezpečeně veřejně zpřístupňovali. Je určen zejména k tomu, abyste se mohli vy např. zabezpečeně přihlašovat k administraci svého webu. Pokud chcete zabezpečeně stránky zpřístupnit svým návštěvníkům, měli byste použít variantu s vlastním certifikátem.

Výsledný efekt:

  • http://www.example.cz/ – nezabezpečené
  • http://489.w89.wedos.ws/ – nezabezpečené
  • https://www.example.cz/ – šifrované, ale nedůvěryhodné (varování prohlížeče)
  • https://489.w89.wedos.ws/ – šifrované a důvěryhodné (pokud máte nainstalován náš kořenový certifikát)

Vlastní certifikát

U vašeho webhostingu je možné nastavit vlastní certifikát a soukromý klíč. O vystavení certifikátu se však musíte postarat sami, tedy využít služeb nějaké certifikační autority, která Vám certifikát vystaví. V tomto směru nenabízíme žádné zprostředkování ani konzultace, nám pak musíte dodat výsledný certifikát a soukromý klíč.

Certifikát žádejte pro doménový název, který používáte v URL adresách vašeho webu. Pokud se nebude název přesně shodovat, bude komunikace šifrovaná, ale nebude důvěryhodná (varování prohlížeče).

  • certifikát pro example.cz – bude fungovat pouze pro https://example.cz/, ale nikoliv https://www.example.cz/
  • certifikát pro www.example.cz – bude fungovat pouze pro https://www.example.cz/, ale nikoliv https://example.cz/ ani žádnou jinou subdoménu
  • certifikát pro *.example.cz (hvězdičkový „wildcard“ certifikát) – bude fungovat pro https://www.example.cz/ a libovolnou další subdoménu (https://eshop.example.cz/ atd.), ale nikoliv pro https://example.cz/

Výsledný efekt (v případě certifikátu pro www.example.cz):

  • http://www.example.cz/ – nezabezpečené
  • http://489.w89.wedos.ws/ – nezabezpečené
  • https://www.example.cz/ – šifrované a důvěryhodné
  • https://489.w89.wedos.ws/ – šifrované, ale nedůvěryhodné (varování prohlížeče)

Vlastní certifikát na vlastní IP adrese

Pro nastavení vlastního certifikátu na vlastní IP adrese je nutné, aby měl webhosting přidělenu vlastní IP adresu. Toho je možné dosáhnout aktivací příplatkové služby „vlastní IP adresa“.

Vlastní certifikát na doméně (SNI)

Pro nastavení vlastního certifikátu na doméně SNI je nutné, aby byla u webhostingu aktivní příplatková služba „podpora HTTPS na doméně SNI“.

Certifikát Lets Encrypt

Další možností, jak nastavit HTTPS na webhostingu, je nastavení certifikátu Lets Encrypt. Lets Encrypt je certifikační autorita, která umožňuje vygenerování certifikátu pro zabezpečení HTTPS zdarma. Generování Lets Encrypt certifikátů máme na webhostingu zcela zautomatizované a po vygenerování se nemusíte o nic dalšího starat. Aby bylo možné nastavit u webhostingu HTTPS pomocí Lets Encrypt certifikátu, je nutné mít aktivovanou příplatkovou službu „podpora HTTPS na doméně SNI“. Podrobný návod, jak nastavit Lets Encrypt certifikát naleznete zde.

Aktivace a nastavení HTTPS u webhostingu

Pokud vyžadujete HTTPS s vlastním certifikátem na vlastní IP, nejprve nás autorizovaně (po přihlášení) kontaktujte pomocí kontaktního formuláře s žádostí o přidělení vlastní IP adresy k webhostingu, teprve poté vám bude umožněno si tuto variantu HTTPS aktivovat a zadat certifikát a soukromý klíč. Žádosti o vlastní IP adresu vyřizujeme do 1 pracovního dne, tato služba je zpoplatněna dle aktuálního ceníku.

Pokud chcete využívat HTTPS na doméně webhostingu (SNI), aktivujte si v administraci webhostingu přípl. službu „podpora HTTPS na doméně (SNI)“. Poté můžete ihned pokračovat vkládáním vlasního klíče a certifikátu, na nic se dále nečeká.

UPOZORNĚNÍ! Vlastní IP adresu nelze platit zvlášť na jiná období nebo s jinou periodou než webhosting. Při aktivaci IP adresy musí zákazník tuto službu doplatit ode dne aktivace do konce aktuálně předplaceného období webhostingu, následně platí na další rok spolu s webhostingem.

Pro nastavení HTTPS u vašeho webhostingu postupujte dle následujícího návodu.

  1. Přihlaste se do vašeho účtu v zákaznickém centru
  2. Klikněte na záložku webhosting
  3. Otevřete si detail webhostingu, kde chcete HTTPS nastavit
  4. V levém menu zvolte položku HTTPS
  5. Zvolte variantu HTTPS, v případě vlastního certifikátu vložte soukromý klíč a certifikát, případně dle potřeby také intermediate certifikát (nebo více certifikátů) certifikační autority, vše ve formátu PEM (podrobnosti níže).
  6. Klikněte na tlačítko Provést změny, změny se projeví do 30 minut.

Při použití HTTPS s vlastním certifikátem na vlastní IP:

  • Musíte mít nejprve aktivovánu vlastní IP adresu, o to nás požádejte přes kontaktní formulář. Dostanete vlastní IPv4 a také IPv6.
  • Nezapomeňte v DNS změnit A záznamy u vaší domény na IP adresu, kterou vám přidělíme. Jinak vám HTTPS fungovat nebude.
  • Certifikáty i soukromý klíč se zadávají ve formátu PEM.
  • Soukromý klíč můžete zadat zaheslovaný i nezaheslovaný, podle potřeby zadáte jeho heslo.
  • Podle potřeby také vložte intermediate certifikát (případně více certifikátů), pokud jej vámi zvolená certifikační autorita používá – to konzultujte s ní.

Generování privátního klíče a CSR žádosti

K vygenerováni můžete využít buď online generátor a nebo příkaz OpenSSL (OS Linux).

Generování příkazem OpenSSL (Linux)

V prvním kroku je nutné vygenerovat privátní klíč. Ten se následně použijete na vygenerováni CSR žádosti.

openssl genrsa -out privatni_klic.key 2048

Následně generování CSR žádosti.

openssl req -new -key privatni_klic.key -out CSR_zadost.csr

V rámci generování budete dotázáni doplnující informace. Tyto informace je nutné vyplnit bez diakritiky.

Country Name (2 letter code) [AU]: např. CZ
State or Province Name (full name) [Some-State]: např. Cesko
Locality Name (eg, city) []: např. Hluboka nad Vltavou
Organization Name (eg, company) [Internet Widgits Pty Ltd]: např. WEDOS INTERNET a.s.
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []: zde zadáte přesný název domény (je rozdíl www.domena.tld a domena.tld). Certifikát bude vydán pro zadaný název.
Email Address []: např. admin@domena.cz


A challenge password []:
An optional company name []:

Online CSR Generátor

K vygenerování privátního klíče a CSR žádosti můžete využít online CSR Generátor

HTTPS a aliasy

Nastavení HTTPS a použitý certifikát platí pro celý webhosting, tedy pro hlavní doménu i všechny případné aliasy. Není možné aliasům přiřadit jiný certifikát nebo aliasům HTTPS vypnout.

Pokud si přejete mít HTTPS pouze u jedné domény a u aliasů fungovat nesmí, pak musíte aliasy oddělit do jiného webhostingu, kde zůstane HTTPS vypnuté.

Pokud chcete HTTPS také pro nějaký alias, pak jsou 2 možnosti

  1. Použít společný certifikát, který bude vystaven pro více doménových názvů současně (pokud to nabízí vámi zvolená certifikační autorita).
  2. Přesunout alias do samostatného webhostingu.

Přesměrování HTTP na HTTPS

RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Příplatková služba „vlastní IP adresa“

Po aktivaci této příplatkové služby bude Vašemu webhostingu přidělena vlastní IPv4 adresa. Ta je potřebná k zabezpečení webu pomocí vlastního certifikátu. Tato příplatková služba je zpoplatněna částkou 100 Kč bez DPH měsíčně (120 Kč s DPH). Alternativou k této příplatkové službě je příplatková služba „podpora HTTPS na doméně (SNI)“

Příplatková služba „podpora HTTPS na doméně (SNI)“

Aktivací této příplatkové služby nedojde automaticky k zabezpečení webu pomocí HTTPS. Tato příplatková služba pouze umožňuje nastavení vlastního certifikátu nebo Lets Encrypt certifikátu na webhostingu, aniž by bylo potřeba, aby měl webhosting přidělenou vlastní IP adresu. Tato příplatková služba je zpoplatněna částkou 10 Kč bez DPH měsíčně (12 Kč s DPH).

Byl pro Vás tento návod užitečný?