HTTPS pro správce serverů

HTTPS se stává běžným, většina webů už ho nasadila. Jak to ale udělat správně, opravdu bezpečně a hlavně bezbolestně? Ukážeme si nejnovější trendy, prakticky si vyzkoušíme vygenerování certifikátu a nasazení na web server.

Petr Krčmář Šéfredaktor serveru Root.cz

Objednat

Co se na školení naučíte

Naučíte se, jak funguje šifrování na webu, k čemu slouží certifikát, jak to všechno prakticky použít a bezpečně nasadit.

Pro koho je školení určeno

Školení je určeno pro správce internetových serverů, zejména těch webových.

Potřebné znalosti účastníka

Účastník by měl umět základy správy linuxového systému, měl by být schopen instalovat software, spouštět běžné utility a editovat soubory.

Náplň školení

Na začátku školení se seznámíme s protokolem TLS (nástupce SSL) a řekneme si, jak se používá v souvislosti s HTTPS. Řekneme si, jak šifrování webového provozu zlepšuje bezpečnost a před čím vás naopak neochrání vůbec.

Dále nás bude zajímat problém důvěryhodného předání veřejného klíče a popíšeme si roli certifikačních autorit. Řekneme si také, co je to ten certifikát, jak funguje a co všechno obsahuje. Prozradíme si také, že certifikáty na sebe navazují a vytvářejí takzvaný řetězec důvěry.

Poté si nějaký certifikát stáhneme a podíváme se doopravdy do jeho vnitřního uspořádání. Použijeme k tomu švýcarský nůž zvaný OpenSSL, kterým jsme schopni vše podrobně rozebrat a prozkoumat. Řekneme si, jaké položky v certifikátu najdeme a jaký pro nás mají význam.

Nastane čas získat svůj vlastní certifikát, konkrétně od služby Let's Encrypt. Ta nabízí důvěryhodné certifikáty zdarma a vydává je automatizovaně, čehož využijeme. Řekneme si, jak celé vystavení probíhá, co vše je k úspěšné validaci potřeba a jak to udělat prakticky.

Samotný ceritifkát ale pro bezpečnost nestačí, je třeba také správně zvolit a nakonfigurovat jednotlivé bezpečností algoritmy. Řekneme si proto, jaký je vztah SSL a TLS, proč jsou starší algoritmy děravé a jak se jim vyhnout. Povíme si, jak od sebe zapadá výměna klíčů, podpis klíče a šifrovací algoritmy.

Dále se budeme zabývat konkrétní konfigurací webového serveru, na kterém získáme a nainstalujeme certifikát, zvolíme bezpečné šifrovací algoritmy a budeme ladit další parametry. Zabývat se budeme například bezpečnostními hlavičkami, které umí klienta informovat o bezpečném chování. Řekneme si, jaké hlavičky existují, co umožňují nastavit a jak je zobrazit či do svého serveru přidat.

Vysvětlíme si také, co je to Certificate Transparency a proč je to důležité pro bezpečné šifrování na webu. Povíme si o záznamech SCT a jejich distribuci k uživatelům. Bez nich totiž dnes nejsou certifikáty důvěryhodné, proto jim musíme věnovat náležitou pozornost.

Zmíníme se také zvláštní záznamy DNS, které souvisejí se šifrováním. Řekneme si, jak do zóny přidat veřejný klíč pomocí záznamu TLSA a jak vybrat certifikační autority pomocí záznamu CAA. Nakonec si ukážeme, jak celou svou konfiguraci podrobně otestovat, abychom si byli jisti, že máme všechno správně.

Celé školení je koncipováno maximálně prakticky, pro účastníky jsou připravena cvičení, na kterých si vše osahají a vyzkoušejí.

Na školení je nutné

Mít vlastní notebook a nainstalovaného SSH klienta.

Jak bude školení probíhat?

Školení bude probíhat na platformě Zoom (https://zoom.us/), účastníci obdrží ID konference, do které se připojí.

O lektorovi

Petr Krčmář
Šéfredaktor serveru Root.cz

Petr Krčmář působí jako šéfredaktor serveru Root.cz. Vystudoval elektroniku se zaměřením na počítačové systémy. GNU/Linuxem a Unixem obecně se zabývá téměř dvacet let a věnuje se především jeho nasazení v počítačových sítích a bezpečnostní politice. Propaguje nasazení otevřeného software a svobodný přístup k informacím. Je aktivním členem sdružení vpsFree.cz, ve kterém členové spravují vlastní VPS infrastrukturu.

Časté otázky a odpovědi

Je pro mě školení vhodné? Budou mé znalosti stačit?

Pokud si nebudete jisti, zda je pro vás školení vhodné nebo zda jsou vaše současné znalosti dostatečné, napište nám a probereme to spolu.

Budou vypsány další termíny tohoto školení?

Ano, toto téma školíme dlouhodobě, vždy nabízíme několik termínů v průběhu roku, vypisujeme je postupně.

Je možné školení zajistit přímo pro naši firmu?

Ano, samozřejmě. Děláme individuální školení, tak i školení na míru ve firmách. Obsah školení se pak přizpůsobí vašim požadavkům.

Je možné získat nějakou množstevní slevu?

Ano, cenové zvýhodnění poskytujeme v případě 4 a více účastníků z jedné firmy na jednom skolení nebo při účasti jedné osoby na 4 a více školeních.

Je školení akreditované?

Akreditované není, naši lektoři školí na základě dlouholeté praxe, ne certifikátů. Se všemi lektory spolupracujeme dlouhodobě a ručíme za ně.

Bude k dispozici záznam školení?

Záznam ne, ale v případě, že se budete potřebovat k něčemu vrátit, budete potřebovat cokoliv dovysvětlit či zkonzultovat, vám bude k dispozici náš lektor.

Co když budu mít u online školení problém s připojením se na školení?

Přístup ke školení od nás dostanete dva, nejpozději den před školením, společně s kontaktem na lektora. Pokud budete mít problém se ke školení připojit, zavolejte lektorovi a ten vám jej pomůže vyřešit.

Je v ceně prezenčního školení oběd či občerstvení?

Samozřejmě, v případě celodenního či vícedenního školení pro vás zajistíme chutný oběd v nedaleké restauraci. V průběhu celého dne budete mít k dispozici kávu, čaj, vodu i drobné občerstvení.

Je možné školení zaplatit pomocí programu Benefit plus?

Již bohužel ne.