SSL certifikát byl před 10 lety volitelný luxus, dnes je povinné minimum. Tento článek vysvětluje typy, výběr a praktické nasazení pro majitele firmy.

Pro širší kontext kybernetické obrany viz pillar Kybernetická bezpečnost firemních dat. Pro glossary /cs/slovnik/ssl.

Co je SSL/TLS

SSL (Secure Sockets Layer) je původní protokol z roku 1995 pro šifrovaná internetová spojení. TLS (Transport Layer Security) je jeho moderní verze (TLS 1.0 z roku 1999, dnes je v 2026 minimum TLS 1.3).

V praxi se pojmy SSL a TLS používají zaměnitelně — když hovoříme o „SSL certifikátu”, myslíme TLS certifikát. „SSL” zůstalo jako marketingový termín.

Tři funkce

  1. Šifrování — komunikace mezi prohlížečem a serverem je zašifrována. Útočník uprostřed (například na Wi-Fi v kavárně) nevidí přenášená data — hesla, formuláře, cookies.
  2. Integrita — kryptografický hash zajišťuje, že útočník nemůže měnit obsah během přenosu (např. injektovat reklamy nebo malware do legitimního webu).
  3. Autentifikace — certifikát potvrzuje, že server je skutečně ten, za kterého se vydává. Bez toho útočník mohl vytvořit falešný banka.cz a přesměrovat tam návštěvníky.

HTTPS = HTTP + TLS

HTTPS (HTTP Secure) je HTTP protokol běžící nad TLS. V adresním řádku prohlížeče vidíte zámek a https:// místo http://.

V 2026 každý seriózní web používá HTTPS. HTTP-only weby:

  • Prohlížeče zobrazují varování „Not Secure”
  • Google v rankingu penalizuje
  • Některé API a integrace selhávají
  • Cookies nelze nastavit jako secure

Typy SSL certifikátů

Tři kategorie podle úrovně validace:

Domain Validation (DV)

Nejjednodušší — Certificate Authority (CA) ověří jen, že žadatel vlastní doménu (přes DNS záznam nebo soubor na serveru). Nezabývá se identitou firmy.

  • Cena: Zdarma (Let’s Encrypt) nebo 5 – 30 EUR/rok
  • Validace: Automatizovaná, trvá minuty
  • Vhodný pro: Marketingové weby, blogy, neformální stránky

Organization Validation (OV)

CA ověřuje i identitu firmy (registraci v obchodním rejstříku, telefonát, dokumenty).

  • Cena: 50 – 200 EUR/rok
  • Validace: 1 – 3 dny
  • Vhodný pro: B2B weby, kde klient ocení ověření firmy

Extended Validation (EV)

Nejpřísnější validace — CA prověří firmu přes rigorózní ověření (osobní návštěva, advokátské prohlášení, atd.).

  • Cena: 100 – 500 EUR/rok
  • Validace: 1 – 2 týdny
  • Vhodný pro: Banky, finanční instituce, velké e-shopy

V 2026 jsou EV certifikáty méně viditelné — moderní prohlížeče již nezobrazují jméno firmy v adrese (zelený panel z minulosti). EV ztratil většinu UX výhody, zůstal jen jako právní signál.

Speciální typy

Wildcard certifikát

Pokrývá všechny subdomény jedné domény: *.modulario.com pokrývá www.modulario.com, app.modulario.com, api.modulario.com atd.

Cena: 50 – 300 EUR/rok. Alternativa: Let’s Encrypt + DNS-01 challenge automatizace (složitější nastavení, ale free).

Multi-Domain (SAN)

Jeden certifikát pro více různých domén (firma1.cz + firma2.cz + firma3.cz).

Cena: 50 – 500 EUR/rok podle počtu domén.

Code Signing

Není pro web — používá se na podepisování softwarových balíků (.exe, .msi, ovladače). Bez code signing certifikátu Windows zobrazí „Unknown publisher” při instalaci.

Let’s Encrypt: free a praktická volba

Let’s Encrypt je nezisková Certificate Authority spuštěná v roce 2016 (ISRG, sponzorovaná EFF, Mozilla, Cisco a dalšími). Vydává free DV certifikáty s 90denní platností + automatickým obnovením.

V 2026 vydávají více než 50 % všech SSL certifikátů na světě.

Výhody

  • Zdarma — bez ohledu na počet domén
  • Automatizované — Certbot tool obnovuje certifikáty automaticky
  • Široká podpora — všechny prohlížeče uznávají Let’s Encrypt
  • Žádné kompromisy v šifrování — stejný TLS 1.3 jako placené certifikáty

Omezení

  • Pouze DV (žádný OV ani EV)
  • 90denní platnost (musí se obnovovat každých 60 dní)
  • Bez „support telefonu” — community based

Instalace

Pro většinu hostingů (včetně Wedos, Forpsi, Active24, VSHOSTING) je Let’s Encrypt v admin panelu jedním klikem. Pro vlastní server přes Certbot:

sudo certbot --nginx -d firma.cz -d www.firma.cz

Auto-renewal přes systemd timer nebo cron — set-and-forget na rok dopředu.

Implementace SSL pro firemní web

Krok 1: Doména

Doména musí být registrována. Pro Česko .cz přes CZ.NIC (přes registrátora jako Wedos, Forpsi, Active24). Cena: 10 – 30 EUR/rok.

Krok 2: Hosting nebo server

Hosting (cloud SaaS, VPS, dedicated) musí podporovat HTTPS. Všechny moderní hostingy v 2026 ano.

Krok 3: DNS nastaveno

A záznam firma.cz ukazuje na IP serveru, AAAA pro IPv6.

Krok 4: Certifikát

  • Hosting panel (Wedos, Active24, Forpsi): klik „Aktivovat SSL” — Let’s Encrypt automaticky
  • Vlastní server: Certbot instalace
  • Cloud (AWS, Azure): certificate manager, někdy free, někdy součást load balanceru

Krok 5: Force HTTPS

Web musí přesměrovat http://firma.cz na https://firma.cz. V Apache .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Pro Nginx nebo cloud load balancer ekvivalentní nastavení.

Krok 6: HSTS

HSTS (HTTP Strict Transport Security) vynutí HTTPS i při prvním přístupu. Header:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Krok 7: Test

Otestujte přes SSL Labs Server Test. Cíl: známka A nebo A+.

Monitoring expirace

Nejčastější chyba: certifikát expiruje a nikdo si nevšiml → web přestane fungovat důvěryhodně.

Řešení:

  • Let’s Encrypt + Certbot auto-renewal — automaticky, žádný manuální krok
  • Uptime Robot, Pingdom — alert 30 dní před expirací
  • Site24x7, StatusCake — širší monitoring včetně SSL
  • Vlastní cron s openssl s_client -connect firma.cz:443 parsováním

Pro Modulario monitoring SSL je součástí celkové infrastruktury. Klient nikdy nemá problém s expirovaným SSL na hlavní doméně.

TLS 1.3 a moderní standardy

V 2026 je TLS 1.3 minimum. Starší verze:

  • TLS 1.0 a 1.1 — deprecated od roku 2020, zakázané
  • TLS 1.2 — stále podporované pro legacy klienty, ale ne default
  • TLS 1.3 — default, nejrychlejší, nejbezpečnější

Konfigurace serveru by měla:

  • Vynutit TLS 1.2 minimum (ideálně 1.3)
  • Zakázat slabé ciphers (RC4, DES, 3DES)
  • Mít OCSP stapling
  • Podporovat HTTP/2 a HTTP/3 (QUIC)

SSL Labs test odhalí všechny nedostatky.

Časté otázky

K čemu slouží SSL certifikát? SSL/TLS certifikát zajišťuje šifrovanou komunikaci mezi prohlížečem návštěvníka a vaším webovým serverem (HTTPS místo HTTP). Tři funkce: (1) šifrování — nikdo „uprostřed” nemůže odposlouchávat data (hesla, formuláře), (2) integrita — útočník nemůže měnit obsah cestou, (3) autentifikace — návštěvník ví, že komunikuje se správným serverem, ne podvodným. Bez SSL prohlížeče zobrazují varování „Not Secure”, což zničí důvěryhodnost firmy.

Stačí mi free SSL od Let’s Encrypt, nebo potřebuji placený? Pro 95 % firemních webů stačí Let’s Encrypt — bezplatný, automaticky obnovitelný, technicky stejné šifrování jako placené certifikáty. Placený má smysl jen při: (1) Extended Validation (EV) certifikát pro banky / e-shopy s vysokým objemem, (2) Wildcard pro mnoho subdomén, (3) Organization Validation (OV) pro B2B firmy, kde klient ověřuje právní identitu. Pro majitele SMB Let’s Encrypt + auto-renewal přes Certbot je optimální řešení.

Co se stane, když expiruje SSL certifikát? Prohlížeče zobrazí agresivní varování „Vaše připojení není soukromé” a většina návštěvníků stránku opustí. Pro B2B firmu to znamená ztrátu důvěryhodnosti, výpadek lead generation a potenciální ztrátu obchodu. Některé aplikace (banking, M365) přestanou komunikovat se serverem, jehož certifikát expiroval. Řešení: monitoring expirace (Uptime Robot, Pingdom, nebo Certbot auto-renewal) — alert 30 dní před expirací.