HTTPS na webhostingu

  Administracja, Ustawienia, Webhosting

Niniejszy artykuł zawiera informacje o obsłudze HTTPS na naszym webhostingu, oferowanych wariantach i sposobie ustawienia. Poniżej opisano procedurę szybkiego ustawienia oraz przedstawiono pozostałe warianty.

Szybkie ustawienie

Nasz system automatycznie dokona podstawowej konfiguracji HTTPS, która obejmuje:

  • aktywację niezbędnej usługi dodatkowej w cenie 10 CZK netto miesięcznie
  • aktywację HTTPS na webhostingu w wariancie z certyfikatem Let’s Encrypt, w przypadku tego certyfikatu nie musisz się o nic martwić, wygenerowanie i odnawianie odbywa się automatycznie
  • dodanie domen podstawowych do certyfikatu (jeśli korzystasz z subdomen, musisz dodać je ręcznie później)

W jaki sposób skorzystać z Szybkiego ustawienia:

  • Panelu Klienta przejdź do sekcji webhosting
  • z listy usług wybierz webhosting, u którego chcesz wprowadzić zmianę
  • z menu po lewej stronie wybierz opcję HTTPS
  • postępuj zgodnie z instrukcjami zawartymi w sekcji Szybkie ustawienie

Po pomyślnej aktywacji należy odczekać ok. 1 godzinę. W tym czasie nastąpi wygenerowanie i przygotowanie certyfikatu. UWAGA: Nie jest to równoważne z automatycznym przełączeniem się strony do trybu bezpiecznego. W większości przypadków konieczna jest jeszcze konfiguracja strony.

W administracji lub w pliku konfiguracyjnym swojej strony zmień ustawienia w taki sposób, aby korzystać z bezpiecznego połączenia. Opcje mogą być różne, czasami wystarczy zmienić URL strony, aby zaczynał się od https://, czasem będzie to opcja „Wymuś SSL lub HTTPS”, w innym przypadku możesz skorzystać z pluginu do przekierowania na https://. Decyzję o wyborze idealnego sposobu dla Ciebie skonsultuj se swoim webmasterem.

Aby przekierować wszystkie żądania na bezpieczny wariant, zalecamy dodanie reguł przekierowania w pliku .htaccess. Nie modyfikuj ich.

RewriteEngine On 
RewriteCond %{HTTPS} off 
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R=301] 
Header set Content-Security-Policy "upgrade-insecure-requests;"

Szybkie wskazówki dotyczące włączania HTTPS na różnych CMS:

  • WordPress: zmiana obu URL w /wp-admin >> Ustawienia >> Ustawienia ogólne + reguły .htaccess powyżej
  • Joomla: zmiana URL w pliku configuration.php w zmiennej public $live_site + reguły .htaccess powyżej
  • Prestashop: Panel administracyjny >> Preferencje >> Ogólne >> Włącz SSL i Włącz protokół SSL na wszystkich stronach
  • Opencart: Panel administracyjny >> System >> Ustawienia >> Opcje serwera >> Użyj SSL + reguły .htaccess powyżej
  • Drupal: reguły .htaccess powyżej

Pozostałe możliwości i ich szczegółowy opis

Ogólne informacje i wstęp do HTTPS zostały opisane w artykule Podstawy HTTPS (HTTP przez SSL. W ramach webhostingu oferujemy 4 warianty HTTPS:

  • ze współdzielonym certyfikatem (aktywacja nie jest już dostępna)
  • z własnym certyfikatem na własnym IP
  • z własnym certyfikatem na domenie (SNI)
  • z certyfikatem Lets Encrypt

Domyślnie HTTPS jest na webhostingu wyłączone. Wchodząc na taką stronę przez HTTPS, zawsze wyświetli się błąd 404.

W przykładach będziemy używać webhostingu domeny example.cz, którego wewnętrzny adres URL to 489.w89.wedos.ws.

Certyfikat współdzielony

Aktywacja nie jest już dostępna. Po dezaktywacji certyfikatu lub wybraniu innej opcji HTTPS, udostępnionego certyfikatu nie można już ponownie aktywować.

W rezultacie podczas uzyskiwania dostępu do protokołu HTTPS przez domenę wewnętrzną (XXXX.wYY.wedos.ws) oraz przez rzeczywistą domenę webhostingu przeglądarki będą zgłaszać problem z zabezpieczeniem, ponieważ nie będą znać użytego urzędu certyfikacji. Istnieją 2 możliwe rozwiązania:

  1. Ignorowanie tego komunikatu i dodanie wyjątku dla tej strony w przeglądarce
  2. Instalacja na komputerze głównego certyfikatu naszego urzędu certyfikacji, więcej informacji w artykule Urząd certyfikacji WEDOS

UWAGA! Certyfikat współdzielony nie ma na celu zabezpieczenia Twojej strony na potrzeby jej publicznego udostępniania. Jego zadaniem jest przede wszystkim umożliwienie Ci np. bezpiecznego logowania się do administracji Twojej strony. Jeśli chcesz bezpiecznie udostępniać witrynę odwiedzającym, powinieneś użyć wariantu z własnym certyfikatem.

Wynik końcowy:

  • http://www.example.cz/ – niezabezpieczone
  • http://489.w89.wedos.ws/ – niezabezpieczone
  • https://www.example.cz/ – szyfrowane, ale niewiarygodne (ostrzeżenie przeglądarki)
  • https://489.w89.wedos.ws/ – szyfrowane i wiarygodne (jeśli masz zainstalowany nasz certyfikat główny)

Własny certyfikat

Na webhostingu możliwe jest ustawienie własnego certyfikatu i klucza prywatnego. O wygenerowanie certyfikatu musisz jednak zadbać sam, tj. skorzystać z usług któregoś z urzędów certyfikacji, która certyfikat wystawi. W tym zakresie nie oferujemy usługi pośrednictwa ani konsultacji. Musimy otrzymać wystawiony certyfikat oraz klucz prywatny.

Poproś o wystawienie certyfikatu dla nazwy domeny, której używasz w adresach URL Twojej strony. Jeśli nazwy nie będą identyczne, komunikacja będzie szyfrowana, ale nie będzie wiarygodna (ostrzeżenie przeglądarki).

  • certyfikat dla example.cz – będzie działał jedynie dla https://example.cz/, ale dla https://www.example.cz/ już nie 
  • certyfikat dla www.example.cz – będzie działał jedynie dla https://www.example.cz/, ale dla  https://example.cz/ ani żadnej innej subdomeny już nie
  • certyfikat dla *.example.cz („wildcard“ certyfikat) – będzie działał dla https://www.example.cz/ oraz każdej dowolnej subdomeny (https://eshop.example.cz/ atd.), ale dla https://example.cz/ już nie

Wynik końcowy (w przypadku certyfikatu dla www.example.cz):

  • http://www.example.cz/ – niezabezpieczone
  • http://489.w89.wedos.ws/ – niezabezpieczone
  • https://www.example.cz/ – szyfrowane i wiarygodne
  • https://489.w89.wedos.ws/ – szyfrowane, ale niewiarygodne (ostrzeżenie przeglądarki)

Własny certyfikat na własnym adresie IP

Ustawienie własnego certyfikatu na własnym adresie IP wymaga, aby webhosting miał przydzielony własny adres IP. Jest to możliwe przez aktywację usługi dodatkowej własny adres IP” (dostępna dla webhostingów uruchomionych przed listopadem 2017 roku). Dla webhostingów utworzonych po tej dacie, zalecamy korzystanie z własnego certyfikatu na współdzielonym adresie IP (SNI). 

Własny certyfikat na domenie (SNI)

Ustawienie własnego certyfikatu na domenie SNI wymaga aktywacji usługi dodatkowej obsługa HTTPS na domenie SNI”.

Aktywacja tej usługi dodatkowej nie spowoduje automatycznego zabezpieczenia strony za pomocą HTTPS. Usługa dodatkowa umożliwia jedynie ustawienie własnego certyfikatu lub certyfikatu Lets Encrypt na webhostingu, bez konieczności przydzielania mu własnego adresu IP. Usługa jest odpłatna a jej koszt to 10 CZK netto miesięcznie (12 CZK brutto miesięcznie).

Certyfikat Lets Encrypt

Innym sposobem ustawienia HTTPS na webhsotingu jest użycie certyfikatu Lets Encrypt. Lets Encrypt to urząd certyfikacji, który umożliwia bezpłatne wygenerowanie certyfikatu dla zabezpieczenia HTTPS. Generowanie certyfikatów Lets Encrypt na naszym webhostingu jest całkowicie automatyzowane. Po jego wygenerowaniu nie musisz się już o nic martwić. Ustawienie HTTPS na webhostingu za pomocą certyfikatu Lets Encrypt wymaga aktywacji usługi dodatkowej „obsługa HTTPS na domenie SNI”. Szczegółowe instrukcje dotyczące ustawienia certyfikatu Lets Encrypt są dostępne tutaj.

Aktywacja i ustawienie HTTPS na webhostingu

Jeśli zależy Ci na ustawieniu HTTPS z własnym certyfikatem na własnym adresie IP, skontaktuj się z nami (po zalogowaniu do swojego konta użytkownika) za pomocą  formularza kontaktowego z prośbą o przydzielenie własnego adresu IP do webhostingu. Dopiero po przydzieleniu adresu IP będziesz mógł aktywować ten wariant HTTPS, i wprowadzić certyfikat i klucz prywatny. Zapytania o przydzielenie własnego adresu IP przetwarzamy do 1 dnia roboczego, usługa ta jest odpłatna (wysokość opłaty określana wg aktualnego cennika).

Jeśli chcesz korzystać z HTTPS na domenie webhostingu (SNI), aktywuj w administracji webhostingu usługę dodatkową „obsługa HTTPS na domenie SNI”. Następnie możesz kontynuować wprowadzeniem własnego klucza i certyfikatu.

UWAGA! Okres korzystania z własnego adresu IP nie może być różny od okresu ważności webhostingu. Nie jest możliwe opłacenie usługi na inny okres rozliczeniowy niż okres rozliczeniowy webhostingu. Po aktywacji adresu IP wymagane będzie uiszczenie opłaty za okres od dnia aktywacji do końca okresu ważności webhostingu. W kolejnych latach kwota za usługę dodatkową zostanie uwzględniona w cenie przedłużenia webhostingu.

Aby ustawić HTTPS na Twoim webhostingu, postępuj wg poniższej instrukcji:

  1. Zaloguj się do Panelu Klienta.
  2. Przejdź do zakładki Usługi hostingowe > webhosting.
  3. Otwórz szczegóły webhostingu, u którego chcesz zmienić ustawienia HTTPS.
  4. Z menu po lewej stronie wybierz opcje HTTPS.
  5. Wybierz wariant HTTPS, w przypadku własnego certyfikatu wprowadź klucz prywatny i certyfikat, lub, w razie potrzeby, także certyfikat pośredni (lub więcej certyfikatów), wszystkie w formacie PEM (szczegóły poniżej).
  6. Kliknij przycisk Wprowadź zmiany, zmiany pojawią się w ciągu 30 minut.

W przypadku korzystania z protokołu HTTPS z własnym certyfikatem na własnym adresie IP:

  • Musisz dysponować aktywnym własnym adresem IP, w tym celu skontaktuj się z nami przez formularz kontaktowy. Zostanie Ci przydzielony adres IPv4 oraz IPv6.
  • Nie zapomnij o zmianie rekordów A w DNS swojej domeny na adres IP, który został Ci przydzielony. W przeciwnym razie HTTPS nie zadziała.
  • Certyfikaty i klucze prywatne należy wprowadzać w formacie PEM.
  • Klucz prywatny może być lub nie być chroniony hasłem, w razie potrzeby wprowadzisz jego hasło.
  • W razie potrzeby możesz także wprowadzić certyfikat pośredni (ewentualnie więcej certyfikatów), o ile korzysta z niego wybrany przez Ciebie urząd certyfikacji – tę kwestię musisz skonsultować z nim.

Wygenerowanie klucza prywatnego i wniosku CSR

Do wygenerowania możesz wykorzystać generator online lub polecenie OpenSSL (OS Linux).

Generowanie poleceniem OpenSSL (Linux)

W pierwszym kroku konieczne jest wygenerowanie klucza prywatnego. Następnie użyjesz go do wygenerowania wniosku CSR.

openssl genrsa -out privatni_klic.key 2048

Wygenerowanie wniosku CSR.

openssl req -new -key klucz_prywatny.key -out CSR_zadost.csr

W ramach generowania zostaniesz poproszony o podanie dodatkowych informacji. Informacje te należy wprowadzić bez znaków diakrytycznych.

Country Name (2 letter code) [AU]: np. CZ
State or Province Name (full name) [Some-State]: np. Polska
Locality Name (eg, city) []: np. Hluboka nad Vltavou
Organization Name (eg, company) [Internet Widgits Pty Ltd]: np. WEDOS INTERNET a.s.
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []: tutaj wprowadź kompletny adres domeny (istnieje różnica pomiędzy www.domena.tld a domena.tld). Certyfikat zostanie wystawiony dla podanej nazwy.
Email Address []: np. admin@domena.cz


A challenge password []:
An optional company name []:

Generator CSR Online

Do wygenerowania klucza prywatnego i wniosek CSR możesz skorzystać z Generatora CSR online.

HTTPS i aliasy

Ustawienie HTTPS i wprowadzony certyfikat odnosi się do całego webhostingu, tj. domeny głównej i wszystkich aliasów. Przydzielenie aliasom innego certyfikatu lub wyłączenie HTTPS u aliasów nie jest możliwe.

Jeśli chcesz korzystać z HTTPS tylko u jednej domeny, będziesz musiał przenieść aliasy na inny webhosting, gdzie HTTPS pozostanie wyłączone.

Jeśli chcesz korzystać z HTTPS dla któregoś z aliasów, istnieją 2 możliwości:

  1. Użyj wspólnego certyfikatu, który będzie wystawiony, dla kilku domen jednocześnie (o ile oferuje to wybrany przez Ciebie urząd certyfikacji).
  2. Przenieś alias do odrębnego webhostingu.

Przekierowanie HTTP na HTTPS

 RewriteEngine On
 RewriteCond %{HTTPS} !=on
 RewriteRule .* https://%{SERVER_NAME} [R=301]
 Header set Content-Security-Policy "upgrade-insecure-requests;"

Usługa dodatkowa „własny adres IP”

Po aktywacji tej usługi dodatkowej dla Twojego webhostingu zostanie przydzielony własny adres IPv4. Jest on niezbędny do zabezpieczenia strony za pomocą własnego certyfikatu. Usługa jest odpłatna a jej koszt to 100 CZK netto miesięcznie (121 CZK brutto miesięcznie). Alternatywą dla tej usługi jest usługa dodatkowa „obsługa HTTPS na domenie (SNI)”.

Usługa dodatkowa „obsługa HTTPS na domenie (SNI)”

Aktywacja tej usługi dodatkowej nie spowoduje automatycznego zabezpieczenia strony za pomocą HTTPS. Usługa dodatkowa umożliwia jedynie ustawienie własnego certyfikatu lub certyfikatu Lets Encrypt na webhostingu, bez konieczności przydzielania mu własnego adresu IP. Usługa jest odpłatna a jej koszt to 10 CZK netto miesięcznie (12 CZK brutto miesięcznie).

Jak mogę się dowiedzieć, kto wydał mój certyfikat?

Certyfikat niedługo wygaśnie, a Ty nie wiesz u kogo zgłosić chęć przedłużenia? Odpowiedź znajdziesz bezpośrednio w swojej przeglądarce.

po kliknięciu ikony kłódki w pasku adresu wyświetlą się szczegóły zabezpieczenia – wybierz opcję Certifikát
wyświetli się Przeglądarka certyfikatu ze szczegółami certyfikatu, w tym jego wystawcą

Byl pro Vás tento návod užitečný?