Jak správně pracovat s HTTPS certifikáty

Návod je určen pro případy, kdy si zákazník hostuje server sám.

V případě hostingu na eWay-CRM® doméně problémy s certifikací nenastanou. Pokud by došlo k tomu, že by aplikace i přesto zobrazila chybu HTTPS certifikátu, prosím ihned kontaktujte nás.

Certifikát vydaný obecně důvěryhodnou certifikační autoritou (Nejbezpečnější řešení)

Stejné zabezpečení je používáno na doménách eWay-CRM®.

Certifikát serveru je vydaný obecně důvěryhodnou certifikační autoritou. Ověřovací certifikáty těchto autorit jsou potom součástí standardní výbavy operačních systémů (Android, iOS, Windows, atd.). HTTPS komunikace se serverem podepsaná tímto certifikátem je vždy považováno za bezpečnou.

K chybě certifikátu by mohlo dojít jedině v případě, že se adresa serveru liší od adresy zapsané v HTTPS certifikátu:

  • Android přes chybu certifikátu nepřejde.
  • iOS se zeptá, zda problémy certifikátů ignorovat.

Administrátor takto zabezpečeného serveru by měl uživatele obou platforem upozornit, aby tato okna neakceptovali a chybu administrátorovi oznámili. Chyba by mohla být zapříčiněna hackerským útokem.

Tip: V článku Jak zabezpečit eWay-CRM® pomocí SSL certifikátu je uvedeno základní nastavení SSL certifikátů pro eWay-CRM®.

Vlastní certifikační autorita (Bezpečné řešení)

HTTPS certifikát si lze vystavit u vlastní certifikační autority.

Vlastní certifikační autorita na iOS

Uživatel má možnost stáhnout si ověřovací certifikát vlastní certifikační autority a naimportovat ho přes Safari (výhradně přes Safari).

V Profilech v nastavení iOS můžete najít správně naimportovaný certifikát:

Tento postup je jediný správný. iOS při přihlašování do eWay-CRM® Mobile následně nebude oznamovat žádnou chybu certifikátu.

Pokud by se však objevil dialog o certifikátu, uživatelé tento dialog nemají potvrzovat. Mohlo by to znamenat hackerský útok. Administrátor by měl situaci vyřešit.

Vlastní certifikační autorita na Android

Systém Android je odlišný od iOS a nedovoluje použít postup, který byl popsán výše. Na systému Androidu se dialog o přijetí certifikátu vždy ukáže.

Dialog je potřeba rozbalit pomocí odkazu Zobrazit detail certifikátu a zkontrolovat, zda informace o certifikátu odpovídá tomu, co si administrátor sám v certifikační autoritě při vytváření HTTPS certifikátu vygeneroval (viz srovnání s certifikátem v Microsoft Windows).

Pokud toto sedí, uživatel může certifikátu důvěřovat.

Certifikát se celý uloží do speciálního úložiště eWay-CRM® aplikace a Android ho bude vždy akceptovat.

Pokud dojde k výměně certifikátu, komunikace přestane fungovat – bude se považovat za podvržený certifikát. V takovou chvíli je třeba aplikaci znovu přihlásit a odsouhlasit nový certifikát.

Podpis self-signed certifikátem (méně bezpečná varianta)

K self-signed certifikátu (certifikát podepsaný sám sebou) neexistuje ověřovací certifikát certifikační autority.

Self-signed certifikát na iOS

Systém nemá co importovat. Na iOS proto vždy vyskočí certifikační dialog.

Jeho odsouhlasením uživatel nastaví, že vůči zadané doméně (serveru) chce ignorovat problémy se zabezpečením (toto je v dialogu i popsáno). iOS bude problémy se zabezpečením z uvedené domény ignorovat až do odinstalování aplikace.

V takovém případě je stav následující: Komunikace je šifrovaná, útočník ale může podstrčit vlastní šifrovací klíč.

Self-signed certifikát na Android

Na Androidu self-signed certifikáty nejsou takový problém. Postup je stejný, jako u certifikátu z vlastní certifikační autority.

 

Shrnutí, co dělá HTTPS dialog při přihlášení, pokud ho potvrdíme:

  • Na iOS se zapne ignorování problémů s bezpečností vůči dané doméně. Nikdy nedoporučujeme tento dialog potvrzovat, pokud uživatel není dohodnut se svým administrátorem jinak.
  • Na Android se vytvoří výjimka pro konkrétní použitý certifikát. Proto je důležité si prohlédnout, zda se jedná opravdu o správný certifikát.