V tomto článku se dozvíte:
- Jak funguje protokol HTTPS ve službě WEDOS Protection
- Režim Pass-Through a jeho možnosti
- HSTS (HTTP Strict Transport Security)
- Let’s Encrypt a vlastní certifikáty
- Jak nastavit protokol HTTPS
- Často kladené otázky
HTTPS v rámci služby WEDOS Protection
Protokol HTTPS je základním požadavkem pro moderní webové stránky – šifruje data přenášená mezi návštěvníky a serverem a chrání je tak před odposlechem a neoprávněnými zásahy. Služba WEDOS Protection nabízí integrovanou podporu protokolu HTTPS, což umožňuje bezpečné zpracování datového toku na úrovni proxy při zachování vysokého výkonu a přísných bezpečnostních opatření.
Ve výchozím nastavení funguje WEDOS Protection jako zabezpečený reverzní proxy server. Šifrované TLS připojení od návštěvníka je ukončeno na okraji sítě WGP, kde je požadavek dočasně dešifrován, aby mohl být zkontrolován z hlediska možných útoků. Po provedení všech bezpečnostních kontrol je požadavek znovu zašifrován a bezpečně předán na původní server.
To znamená, že aby byla ochrana na úrovni aplikační vrstvy (L7) plně účinná, musí služba WGP disponovat platným certifikátem pro vaši doménu. Služba WEDOS Protection to dokáže zajistit automaticky prostřednictvím služby Let’s Encrypt, případně si v rámci tarifu Expert a vyšších můžete nahrát vlastní certifikát.
Režim průchodu
Režim Pass-Through určuje, jakým způsobem je HTTPS provoz pro danou doménu zpracováván a chráněn – od úplné ochrany na úrovni aplikací (výchozí nastavení) přes ochranu pouze na síťové úrovni až po úplnou absenci kontroly. K dispozici jsou tři možnosti:
- Úplná ochrana (L3/L4 a L7) — výchozí nastavení. Funkce průchodu je deaktivována a WGP chrání vaši doménu na všech vrstvách. Protokol TLS je ukončen na okraji sítě WGP, provoz je kontrolován filtry na síťové i aplikační úrovni (včetně WAF) a poté znovu zašifrován před předáním na původní server.
- Ochrana sítě (pouze L3/L4). Ochrana na úrovni L7 je deaktivována a na vaši doménu se vztahují pouze pravidla a filtry na síťové úrovni. WGP nepřerušuje TLS, takže není možná kontrola na aplikační úrovni. To se hodí v případech, kdy musí zůstat šifrování mezi zdrojem a cílem zachováno, ale přesto chcete zajistit ochranu proti DDoS útokům a filtrování na síťové úrovni.
- Průchozí režim (bez kontroly/ochrany). Nejsou použity žádné ochranné mechanismy, kontroly ani protokolování. Všechny požadavky jsou předávány na původní server beze změn. Používejte pouze v případě, že šifrování musí zůstat striktně typu end-to-end a o ochranu na původním serveru se staráte sami.
HSTS
HSTS (HTTP Strict Transport Security) je bezpečnostní zásada vynucovaná prohlížečem, která nařizuje prohlížečům návštěvníků, aby se k vašemu webu vždy připojovaly přes protokol HTTPS – nikdy přes prostý protokol HTTP. Je-li v nástroji WEDOS Protection povolena funkce HSTS, WGP přidá Strict-Transport-Security hlavičku odpovědi do všech odpovědí HTTPS pro danou doménu.
Je-li povolen protokol HSTS:
- Prohlížeče automaticky přepisují
http://žádosti ohttps://než data opustí zařízení. - Útoky typu downgrade a SSL-stripping jsou zablokovány.
- Náhodný přístup přes nezabezpečené HTTP je blokován.
To pomáhá chránit uživatele před útoky typu „man-in-the-middle“ a zajišťuje konzistentní šifrovanou komunikaci pro všechny návštěvníky.
Funkci HSTS je třeba povolit pouze v případě, že je protokol HTTPS pro danou doménu a všechny její subdomény plně nakonfigurován a správně funguje. Jakmile si prohlížeč uloží zásadu HSTS, nelze ji obejít, dokud neuplyne její platnost, takže nesprávná konfigurace může uživatelům dočasně znemožnit přístup.
Let’s Encrypt a vlastní certifikáty
Služba WEDOS Protection podporuje dva typy certifikátů SSL/TLS: automaticky spravované certifikáty Let’s Encrypt (výchozí nastavení) a vlastní certifikáty nahrané zákazníkem.
HTTPS s Let’s Encrypt
Ve výchozím nastavení služba WEDOS Protection automaticky vydává a obnovuje certifikáty Let’s Encrypt pro vaši doménu. Tato možnost:
- Nevyžaduje ruční správu certifikátů.
- Poskytuje důvěryhodné a široce uznávané certifikáty.
- Certifikáty se automaticky obnovují před vypršením platnosti.
Toto je doporučená volba pro většinu uživatelů. Obnovení zajišťuje společnost WGP pomocí ověření DNS-01, takže není nutný žádný ruční zásah, pokud doména zůstává pod správou DNS společnosti WGP.
HTTPS s vlastním certifikátem
Zákazníci s tarifem Expert a vyššími mohou nahrávat a spravovat své vlastní certifikáty SSL/TLS. Vlastní certifikáty se obvykle používají v následujících případech:
- Je vyžadován certifikát vydaný organizací.
- Je zapotřebí certifikát s rozšířeným ověřením (EV) nebo certifikát od konkrétní certifikační autority.
- Je třeba využít stávající certifikační infrastrukturu.
Po nahrání služba WEDOS Protection používá tento vlastní certifikát k zabezpečení HTTPS provozu pro vybranou doménu. Obnovení certifikátu musí zákazník provést ručně před uplynutím jeho platnosti.
Nastavení HTTPS
Chcete-li nakonfigurovat nastavení protokolu HTTPS, postupujte takto:
- Přihlaste se do administrace WEDOS Global ⧉.
- Vyberte doménu (nebo šablonu), kterou chcete nastavit.
- V levém menu klikněte na možnost „ “ (Zobrazit) a poté na „HTTPS“.
Nastavit režim průchodu
V části „Režim průchodu“ vyberte z rozevíracího seznamu jeden ze tří dostupných režimů. Podrobný popis jednotlivých možností najdete v kapitole „Režim průchodu “ výše.
Výchozí režim je „Úplná ochrana“ (L3/L4 a L7). Doporučujeme ponechat tuto možnost zapnutou pro veškerý produkční provoz, který nevyžaduje striktní šifrování typu end-to-end.
Povolit HSTS
V HSTS v sekci klikněte na Povolit HSTS chcete-li pro danou doménu zapnout HSTS. WGP začne přidávat Strict-Transport-Security hlavičku do všech odpovědí HTTPS. Chcete-li HSTS opět vypnout, klikněte na stejné tlačítko (na kterém se nyní zobrazí Zakázat HSTS).
Před aktivací HSTS se ujistěte, že:
- Protokol HTTPS funguje správně pro danou doménu i všechny poddomény v daném rozsahu.
- Je nainstalován platný certifikát (Let’s Encrypt nebo vlastní).
- Všechny interní odkazy a zdroje se načítávají přes protokol HTTPS (žádný smíšený obsah).
Správa certifikátu
V části Vlastní certifikát vyberte z rozevíracího seznamu možnost HTTPS s certifikátem Let’s Encrypt (výchozí nastavení) nebo HTTPS s vlastním certifikátem.
Pokud je vybrána služba Let’s Encrypt, není třeba provádět žádné další kroky – WGP certifikát vydá a obnoví automaticky.
Po výběru vlastního certifikátu rozbalte sekci pro nahrání souborů s certifikátem. Budete muset zadat:
- Soubor s certifikátem (ve formátu PEM).
- Soubor s privátním klíčem.
- Řetězec mezilehlých certifikátů, pokud není součástí balíčku s certifikátem.
Nahrávání vlastních certifikátů je k dispozici v rámci tarifu Expert a vyšších. Mějte na paměti, že vlastní certifikáty se neobnovují automaticky – certifikát vyměňte ještě před vypršením jeho platnosti, abyste předešli chybám TLS u návštěvníků vašich stránek.
ČASTO KLADENÉ DOTAZY
Potřebuje můj původní server vlastní certifikát SSL při používání služby WEDOS Protection?
Ve výchozím režimu „Úplná ochrana“ (L3/L4 a L7) ukončuje WGP protokol TLS na okraji sítě pomocí svého vlastního certifikátu. Původní server může pro připojení k backendu nadále používat protokol HTTPS (z bezpečnostních důvodů doporučeno), ale návštěvníkům se zobrazí pouze certifikát WGP. V režimech Network Protection (pouze L3/L4) a Pass-through musí mít původní server vlastní platný certifikát, protože k navázání TLS dochází přímo s původním serverem.
Je „HTTPS Pass-Through“ totéž jako deaktivace WGP?
Ne. V režimu Pass-through (bez kontroly/ochrany) provoz stále prochází sítí WGP – pouze není kontrolován, filtrován ani zaznamenáván. Zachováte si směrování a dostupnost sítě Anycast, ale přijdete o ochranu na aplikační i síťové vrstvě. Chcete-li ochranu obnovit, přepněte zpět do režimu Plná ochrana nebo Síťová ochrana.
Jak WGP automaticky obnovuje certifikáty Let’s Encrypt?
Společnost WGP využívá ověřování DNS-01 k obnově certifikátů Let’s Encrypt. Do _acme-challenge.yourdomain.com, Let’s Encrypt jej ověří a obnovený certifikát se nainstaluje na okrajové zařízení WGP. Tento proces probíhá automaticky a nevyžaduje žádný ruční zásah, pokud je vaše doména nadále delegována na DNS služby WGP.
Způsobí povolení HSTS poruchu mého webu?
Pouze v případě, že při zapnutém HSTS nefunguje protokol HTTPS správně. Jakmile si prohlížeče uloží zásady HSTS, odmítají po dobu platnosti těchto zásad přechod na protokol HTTP. Před zapnutím HSTS se ujistěte, že se web správně načítá přes HTTPS na hlavní doméně i na všech subdoménách, které návštěvníci používají, a že se nezobrazují žádná varování ohledně smíšeného obsahu.