Webové stránky Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a vládního CERT byly v úterý nedostupné. Vypršel jim totiž certifikát pro HTTPS. Podle zprávy na oficiálním Twitteru organizace šlo o chybu "dnes již bývalého zaměstnance". Alespoň že se nejednalo o tradiční "stážistku". I tak má ale NÚKIB z ostudy kabát.

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

Jedná se ve své podstatě o prkotinu - kdo z ajťáků nikdy nezapomněl prodloužit certifikát (nebo platnost domény), ať hodí kamenem. Autor tohoto článku rozhodně házet nebude; jednak to při počtu jeho dioptrií není úplně vhodné, jednak se zmiňovaných prohřešků (opakovaně) dopustil. Ovšem když si poněkud upravíme staré latinské rčení "quod licet Iovi, non licet bovi": Co je dovoleno prostému valachovi, nevypadá úplně dobře u státního orgánu specializovaného na kybernetickou bezpečnost. 

Historicky se certifikáty pro webové servery kupovaly u komerčních certifikačních autorit. Získání certifikátu byl manuální proces: správce serveru musel vygenerovat žádost, zadat ji do administračního rozhraní certifikační autority, potvrdit (obvykle e-mailem) její oprávněnost, zaplatit příslušný poplatek, stáhnout vydaný certifikát a nainstalovat jej na server. Celou tuto kratochvíli bylo nutné opakovat jednou za jeden až tři roky, což je přesně ten správný interval na to, aby se na to zapomnělo, zejména pokud se zodpovědný zaměstnanec stal zaměstnancem bývalým. 

Proč o tomto postupu mluvím v minulém čase? Protože již několik let existuje bezplatná automatizovaná certifikační autorita Let's Encrypt. Klíčové slovo je zde to "automatizovaná", neboť její největší výhodou oproti "tradičním" certifikačním autoritám je, že celý proces vydání certifikátů a ověřování vlastnictví domény je automatizovaný. Tomu odpovídá též doba platnosti certifikátu, která je nejvýše tři měsíce.  

Kratší doba platnosti je jevem pozitivním. V první řadě (spolu s absencí ručního rozhraní pro správu) vede k automatizaci celého procesu a působí, že se na vydání následného certifikátu nezapomene, protože celý proces řídí počítač, který nezapomíná. Pro UNIX-like systémy je k dispozici Certbot, vyvíjený Electronic Frontier Foundation. Pro Windows a IIS například AutoACME (full disclosure: autor tohoto článku je zakladatelem tohoto projektu; existují samozřejmě i jiné možnosti). Tato řešení jsou plně automatizovaná. Stačí je nastavit jednou a pak se veškeré obnovování certifikátů děje samočinně.

Kromě toho dochází k častějšímu ověřování, že je doména stále pod kontrolou žadatele. U klasického certifikátu, který platí rok nebo déle, je vyšší pravděpodobnost, že se například změní vlastník domény. Toho si je vědomo i CA/Browser Forum, tedy autorita, která stanoví pravidla pro certifikační autority. Kdysi dávno byla maximální doba platnosti certifikátů pro web servery pět let, nyní byla zkrácena na 27 měsíců. 

Pro běžné veřejné web servery není dnes důvod používat jiné certifikační autority než Let's Encrypt a jiný postup než plně automatizovaný. Komerční certifikační autority a jejich distributoři se sem tam snaží šířit paniku a dojem, že placené certifikáty jsou jaksi "lepší" než ty zdarma, ale nemají ani pravdu, ani velký úspěch. Čekají je hubená léta, neboť jejich certifikáty dávají smysl pouze ve speciálních případech, ne u běžných web serverů. Význam mají možná u starších newebových serverů, kde se s automatizací výměny certifikátu nepočítá: typicky poštovní servery, FTPS servery a další podobná zařízení, kde by nasazení Let's Encrypt bylo buďto nemožné, nebo minimálně náročné a nepraktické. Tam nezbývá než použít déle platné certifikáty a do kalendáře si poznačit konec jejich platnosti.  

NÚKIB se k použití Let's Encrypt dosud neodhodlal, používá nadále certifikáty vydané projektem GÉANT (CA TERENA). Jestli si je zaměstnanci poznačili do kalendáře, se dozvíme nejpozději 25. října 2021, kdy vyprší platnost těch současných.