Od června 2025 přestane Let’s Encrypt, populární poskytovatel SSL certifikátů, zasílat oznámení o blížící se expiraci. Dosavadní záložní plán, který řadu správců serverů zachraňoval před neplatnými certifikáty, tak po letech končí.
Teď co to přesně znamená a jaké s celou situací naložit? A koho to doopravdy ovlivní? Pokračujte nesměle dál.
VPS Centrum
Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.
Jak dosud fungovalo obnovování certifikátů a co se mění
Představte si, že pro svou doménu, například vas-tester.cz, získáte bezpečnostní certifikát. Víte, že certifikát je platný 90 dní. Jste v klidu, protože máte nastavené automatické obnovování, takže vás nic nepřekvapí a certifikát se pravidelně udržuje aktivní.
Ovšem, co když se při konfiguraci něco pokazí? V takovém případě jste jako poslední záchranu obdrželi od Let’s Encrypt e-mail, který dorazil 20 dní před vypršením certifikátu a na případnou chybu upozornil.
Teď si představte, že byste o tuhle poslední jistotu přišli a upozornění nedorazilo. Certifikát vyprší a vaši uživatelé se setkají s chybovou hláškou:
A co to může způsobit?
Pro e-shopy a další důležité weby to může znamenat okamžitou ztrátu důvěry, která se promítne na tržbách. Pro všechny majitele webů to znamená to samé: Ztráta bezpečí. Aktivita mezi uživateli na jedné straně drátu a vaším serverem je nyní nešifrovaná a přicházíte o prostředek, který zamezuje napadení stránky.
Navíc bezpečné weby mají rádi i vyhledávače. Asi nyní tušíte, jak tenhle scénář pokračuje dál…
Pokud ne, přečtěte si co je SSL certifikát a jak vás ochrání.
Proč končí podpora e-mailů s upozorněním na vypršení platnosti
Let’s Encrypt se rozhodl ukončit podporu hlavně z důvodu možné ztráty soukromí uživatelů, jejichž adresy celých 10 let uchovávali.
Poskytování e-mailů s upozorněním na vypršení platnosti znamená, že musíme uchovávat miliony e-mailových adres spojených se záznamy o vydání. Jako organizaci, která si cení soukromí, je pro nás odstranění tohoto požadavku důležité.
zdroj
Spolu s tím vnímají celý proces jako nesmírně nákladný a interně složitý.
Freelo - Nástroj na řízení úkolů a projektů
Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.
Jak se před problémem ochránit?
Na situaci se NAŠTĚSTÍ dá připravit. Michal Špaček, profík přes bezpečnost webových aplikací se na Mastodonu k celé situaci vyjádřil následovně:
Služba se mi líbila ne jako primární způsob, jak mě upozornit, že bych si měl obnovit své certifikáty, ale jako upozornění, že automatizace obnovy selhala. Selhání obnovy obvykle znamená, že jsem něco pokazil.
Michal Špaček
Michal celou situaci vnímá spíše jako příležitost si vybudovat vlastní systém monitoringu. Sám si denně kontroluje nasazení certifikátu na všech serverech nebo používá webhooky, které mu oznámí výsledek obnovy.
Důvěřuj, ale prověřuj aneb automatický monitoring s hlidam.to
Jistota je jistota. Proto jsme našim klientům v Zákaznickém Centru zajistili okamžitý přehled o stavu svého SSL certifikátu – kdy expiruje a jestli je všechno v pořádku. Jenže ruku na srdce, kdo by si denně otevíral účet, aby si vše zkontroloval?
A to bychom nebyli my, kdybychom neměli nějaké automatizované eso v rukávu. Právě proto existuje hlidam.to – nonstop monitoring, který sleduje nejen výkon a dostupnost webu, ale i blížící se expiraci SSL certifikátu. Jakmile zjistí, že se blíží konec platnosti, nebo se něco pokazilo při obnově, hned vám pošle upozornění. A to nejen e-mailem, ale i SMSkou.
hlidam.to nabízíme na 3měsíční zkušební období zdarma.
Zákaznické Centrum jako první krok při řešení
Jakmile vám hlidam.to pošle upozornění, není třeba panikařit. Stačí se přihlásit do svého Zákaznického Centra, kde si můžete ověřit jak datum expirace, tak i zjistit, jakých subdomén se problém týká. Nemějte ale strach, kryjeme vám záda. Pravidelně a celoplošně certifikáty obnovujeme. V ostatních případech je tu pro vás technická podpora, která vám ráda kdykoliv pomůže.
Díky hlidam.to tedy máte přehled a jistotu, že vám nic neunikne. A hlavně – nemusíte se o nic starat ručně. Jakýkoliv vlastní zásah totiž znamená potenciální riziko, že si něco rozbijete a to nechcete. 😊
S monitoringem pomohou i nástroje třetích stran
Pokud ale nemáte kapacity na budování vlastního monitoringu, nebo jen chcete něco jiného, jsou dostupná i řešení třetích stran. Mrkněte například na nástroje jako Uptime Kuma (který si ovšem bez vlastního serveru nerozjedete) nebo TrackSSL. Oba dva jsou dostupné zdarma pro omezený počet domén.
Své věrné uživatele však nechtějí nechat na holičkách ani v Let’s Encrypt a sami doporučují alternativní řešení:
Pro ty, kteří by chtěli i nadále dostávat upozornění na vypršení platnosti, doporučujeme využít službu Red Sift Certificates Lite. Je zdarma až pro 250 certifikátů.
Případně mrkněte na další možnosti sledování expirace u certifikátů.
Závěrem
Změny u Let’s Encrypt jsou jasným signálem, že na spolehlivé monitorování certifikátů je třeba klást větší důraz. Bez včasných upozornění mohou být následky nepříjemné a následně i velmi drahé.
Naše řešení je tu právě proto, aby se takové situace nestávaly a vy jste mohli svůj web spravovat s klidem. Tak to berte jako včasnou výzvu vybudovat si systém, se kterým vás nic nepřekvapí.
