ZONER Cookies

Vážený návštěvníku, potvrzením pomocí tlačítka OK udělujete souhlas nám a našim partnerům s použitím cookies pro nezbytné, analytické a marketingové účely na tomto zařízení. Volbou Nastavení můžete sami určit, jaké skupiny cookies je možné zpracovávat, popřípadě jejich zpracování úplně zakázat. Ukládání nezbytných cookies probíhá vždy, a to v zájmu zachování funkčnosti webové prezentace.

V tomto okně můžete zvolit kategorie cookies v souladu s vlastními preferencemi.

Nezbytné

Tyto cookies zajišťují bezchybný provoz našich webových stránek. Umožňují například vložení služby do objednávky, ukládání dat s ohledem na bezpečnost webu, přihlašování k webu a podobně. Nezbytné cookies nelze deaktivovat, jelikož by došlo k narušení správného fungování webu.

Preferenční

Preferenční cookies umožňují, aby si webová stránka zapamatovala informace, které mění, jak se webová stránka chová nebo jak vypadá. Je to například preferovaný jazyk nebo region, kde se nacházíte.

Analytické

Díky nástrojům jakými jsou například Google analytics můžeme sledovat, jak stránky používáte, z jakých zdrojů a technologií. Na základě těchto dat můžeme web neustále vylepšovat, aby byl pro vás co nejpřívětivější. Veškerá data jsou anonymizována, konkrétní uživatele tedy identifikovat nemůžeme.

Marketingové

Společně s nástroji třetích stran můžeme zobrazovat vámi preferované reklamy v partnerských sítích přesně dle vašich zájmů. V případě nesouhlasu je vysoce pravděpodobné, že vaše zájmy a preference nebudou zohledněny a bude se vám reklama zobrazovat plošně. Veškeré profily vašich zájmů jsou pseudonymizované, díky tomu není možná bezprostřední identifikace vaší osoby.

IT Security

Konec ročních certifikátů: Jak na automatizaci TLS certifikátů pomocí DNS

10. února 2026
Vojtěch Tomášek

Související

Google i Apple neúprosně tlačí na zkracování platnosti SSL/TLS certifikátů. Z původních několika let jsme se dostali na rok a trend jasně směřuje k platnosti pouhých 90, či dokonce 47 dnů. V takovém tempu se manuální obnova stává pro správce serverů noční můrou.

Jedinou udržitelnou cestou je robustní automatizace. V tomto článku si ukážeme, jak nastavit automatickou obnovu certifikátů pomocí protokolu ACME a DNS validace u domén registrovaných u CZECHIA.COM, kteří (nejen) pro tento účel nabízí veřejné REST API.

Proč chtít DNS validaci (DNS-01 challenge)? Většina správců zná ověření přes HTTP, kdy se na web nahrává ověřovací soubor. Validace přes DNS záznamy je ale v mnoha ohledech lepší:

  1. Wildcard certifikáty: Je to jediný způsob, jak získat Let’s Encrypt certifikát pro *.vasedomena.cz.
  2. Bezpečnost a intranet: Nemusíte otevírat port 80 do internetu. Certifikát získáte i pro server schovaný za firewallem nebo v interní síti.
  3. Nezávislost na platformě: Nezáleží na tom, jaký webserver používáte (nebo jestli vůbec nějaký máte).

Nástroje a API Propojení mezi certifikační autoritou a DNS providerem zajišťuje REST API. CZECHIA.COM nabízí dokumentaci ve standardu OpenAPI (Swagger), díky čemuž vznikly pluginy pro tři nejpoužívanější ACME klienty.

Jak na to: Praktická ukázka

  1. Certbot (Standard pro Linux) Certbot je nejrozšířenější klient. Pro nasazení stačí nainstalovat oficiální plugin, vygenerovat si API klíč v administraci CZECHIA a spustit příkaz. Plugin se postará o dočasné vytvoření TXT záznamu, počká na propagaci a po ověření záznam zase smaže.
  2. acme.sh (Lehký shell klient) Pokud nechcete na serveru závislosti na Pythonu, je ideální volbou acme.sh. I zde existuje podpora pro CZECHIA API, která umožňuje získat certifikát jedním příkazem: ./acme.sh –issue –dns dns_czechia -d domena.cz -d *.domena.cz. Cílem acme.sh je certifikát získat (vydat) a uložit jako soubor, o instalaci se nestará; můžete si ji řešit vlastními skripty (tzv. deploy hooky).
  3. Win-acme (pro Windows Server) Osvědčený ACME klient pro svět Windows. funguje v PowerShellu a skript podporuje více domén (SAN). Plugin CZECHIA najdete zde.

S nástupem krátkých expirací certifikátů končí éra „kalendářových upomínek“. S využitím REST API je nastavení automatizace otázkou pár minut. Výsledkem je server, který se o svou bezpečnost stará sám – ať už certifikát platí rok, nebo měsíc.

Předchozí článek Anomálie v návštěvnosti: znamení útoku nebo falešný poplach
Vojtěch Tomášek

Jsem redaktor se zájmem o technologie, grafický design a IT. Je pro mě klíčová zpětná vazba a podněty od čtenářů. Chci tak tvořit obsah, který nejen informuje, ale také inspiruje a obohacuje. Od dokončení vysoké školy se věnuji převážně grafice a IT. Když zrovna nejsem v redakci Intervalu, jsem v přírodě nebo se právě snažím dokončit quest v nejnovějším Zaklínači.

Mohlo by vás také zajímat

Nejnovější

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *