How to install custom SSL on iPhone?

Ruční Důvěra Certifikátům v iOS a iPadOS

07/05/2022

Rating: 4.63 (9841 votes)

V dnešní digitální éře je zabezpečení dat a komunikace klíčové. Pro uživatele zařízení Apple, jako jsou iPhony a iPady, to platí dvojnásob. Často se setkáváme se situací, kdy je potřeba do zařízení nainstalovat certifikát – ať už pro přístup k firemní síti, zabezpečené Wi-Fi, VPN připojení, nebo pro šifrování e-mailů. Překvapivě, pokud takový certifikát nainstalujete ručně, například stažením z webové stránky nebo z e-mailu, systém iOS, iPadOS (a nově i visionOS) mu automaticky neudělí plnou důvěru pro SSL/TLS komunikaci. To může vést k chybovým hlášením, nefunkčním aplikacím nebo zablokovanému přístupu k určitým službám. Proč se to děje a jak tento problém vyřešit? Pojďme se na to podívat podrobněji.

Can I manually Trust a certificate profile in iOS & iPadOS?

Apple klade obrovský důraz na bezpečnost uživatelů a jejich dat. Automatické důvěřování jakémukoli certifikátu, který uživatel ručně nainstaluje, by mohlo představovat značné bezpečnostní riziko. Představte si scénář, kdy by škodlivý útočník mohl uživatele přesvědčit k instalaci falešného certifikátu, který by pak mohl být zneužit k přesměrování síťové komunikace nebo k odposlechu šifrovaných dat. Aby se tomuto zabránilo, Apple vyžaduje, aby uživatelé, kteří ručně instalují certifikáty, explicitně potvrdili, že danému certifikátu důvěřují pro účely SSL/TLS. Jedná se o důležité bezpečnostní opatření, které vás chrání před potenciálními útoky typu „man-in-the-middle“ (MITM).

Obsahový index

Co jsou certifikáty a proč jsou tak důležité pro vaši bezpečnost?

Digitální certifikáty jsou digitální dokumenty, které ověřují identitu webových stránek, serverů, e-mailových klientů nebo jiných digitálních entit. Fungují jako digitální pas, který potvrzuje, že jste se připojili k tomu, ke komu jste se připojit chtěli, a že komunikace mezi vámi a danou entitou je šifrovaná a bezpečná. Pro SSL/TLS (Secure Sockets Layer/Transport Layer Security) jsou certifikáty naprosto nezbytné. SSL/TLS je protokol, který zajišťuje šifrovanou komunikaci přes internet, například při prohlížení webových stránek (HTTPS), posílání e-mailů (SMTPS) nebo při připojení k VPN. Bez platného a důvěryhodného certifikátu by vaše komunikace mohla být snadno odposlouchávána nebo manipulována.

Když váš iPhone nebo iPad komunikuje se serverem, který používá SSL/TLS, ověřuje certifikát serveru. Pokud je certifikát vydán důvěryhodnou certifikační autoritou (CA) a je správně nakonfigurován, systém mu automaticky důvěřuje. Problém nastává, když certifikát není vydán veřejně známou CA, nebo je to certifikát interní, který si vaše organizace vytvořila sama (tzv. „self-signed“ certifikát), nebo je certifikát součástí profilu, který jste si stáhli. V takovém případě systém nedokáže ověřit jeho pravost standardními mechanismy, a proto vyžaduje vaši manuální důvěru.

Kdy je nutné certifikátu ručně důvěřovat?

Ruční důvěra certifikátu je nezbytná především v následujících situacích:

  • Instalace profilu staženého z e-mailu: Pokud vám správce sítě nebo IT oddělení pošle konfigurační profil s certifikátem e-mailem, po jeho stažení a instalaci budete muset certifikátu důvěřovat ručně.
  • Instalace profilu staženého z webové stránky: Podobně, pokud si profil stáhnete přímo z intranetu vaší firmy nebo jiné zabezpečené webové stránky, bude vyžadována ruční aktivace důvěry.
  • Použití interních nebo samo-podepsaných certifikátů: Mnoho firem a organizací používá vlastní certifikační autority pro zabezpečení svých interních služeb. Tyto certifikáty nejsou veřejně známé, a proto je nutné je na zařízeních, která se k těmto službám připojují, ručně povolit.

Je důležité si uvědomit, že tato pravidla se vztahují na certifikáty, které jsou součástí profilů obsahujících certifikáty. Pokud je certifikát nasazen jiným způsobem, například prostřednictvím Apple Configuratoru nebo systému pro správu mobilních zařízení (MDM), je automaticky důvěryhodný, což je pro IT administrátory mnohem pohodlnější řešení.

Průvodce: Jak ručně důvěřovat nainstalovanému certifikátu v iOS a iPadOS

Proces ručního povolení důvěry pro certifikát je poměrně jednoduchý, ale je důležité znát správné kroky. Předpokládejme, že jste již profil obsahující certifikát nainstalovali. Pokud ne, nejprve si ho stáhněte a nainstalujte podle pokynů, které jste obdrželi (obvykle se jedná o soubor s příponou .mobileconfig).

Zde je podrobný postup:

  1. Otevřete Nastavení: Na svém iPhonu nebo iPadu klepněte na ikonu aplikace „Nastavení“ (obvykle šedá ikona s ozubenými kolečky).
  2. Přejděte do Obecné: V seznamu nastavení sjeďte dolů a klepněte na položku „Obecné“.
  3. Vyhledejte Informace: V sekci „Obecné“ sjeďte opět dolů a klepněte na položku „Informace“.
  4. Přejděte do Nastavení důvěry certifikátům: Na úplném konci obrazovky „Informace“ najdete položku „Nastavení důvěry certifikátům“. Klepněte na ni.
  5. Povolte plnou důvěru: Zde uvidíte seznam certifikátů, které jste ručně nainstalovali a které čekají na vaše schválení. Pod nadpisem „Povolit plnou důvěru pro kořenové certifikáty“ najdete přepínač vedle názvu certifikátu, kterému chcete důvěřovat. Klepnutím na tento přepínač ho přepněte do polohy „zapnuto“ (zelená barva).
  6. Potvrďte akci: Systém vás upozorní na důsledky povolení plné důvěry pro daný certifikát. Přečtěte si upozornění a pokud s ním souhlasíte a důvěřujete zdroji certifikátu, klepněte na „Pokračovat“ nebo „Důvěřovat“ (přesné znění se může lišit v závislosti na verzi iOS/iPadOS).

Po dokončení těchto kroků by měl být certifikát plně důvěryhodný pro SSL/TLS a vaše připojení by měla fungovat bez problémů. Všimněte si, že pokud se položka „Nastavení důvěry certifikátům“ nezobrazí, znamená to, že jste do zařízení nenainstalovali žádné další certifikáty, které by vyžadovaly ruční schválení.

Proč Apple doporučuje nasazovat certifikáty přes MDM nebo Apple Configurator?

Ačkoli možnost ruční důvěry existuje, pro systémové administrátory ve školách, firmách nebo jiných organizacích Apple důrazně doporučuje nasazovat certifikáty prostřednictvím Apple Configuratoru nebo systému pro správu mobilních zařízení (MDM - Mobile Device Management). Existuje pro to několik pádných důvodů:

  • Automatická důvěra: Certifikáty nasazené přes Configurator nebo MDM jsou automaticky důvěryhodné pro SSL/TLS. To eliminuje potřebu, aby koncoví uživatelé prováděli jakékoli manuální kroky, což značně zjednodušuje proces nasazení a snižuje počet chyb.
  • Centralizovaná správa: MDM systémy umožňují administrátorům centrálně spravovat a nasazovat certifikáty na stovky nebo tisíce zařízení najednou. To zahrnuje instalaci, aktualizaci a odstraňování certifikátů.
  • Větší bezpečnost a kontrola: S MDM má organizace plnou kontrolu nad tím, jaké certifikáty jsou nasazeny a komu. Tím se minimalizuje riziko instalace nedůvěryhodných certifikátů uživateli. MDM také umožňuje vynucovat bezpečnostní politiky a zajistit, že zařízení jsou v souladu s firemními standardy.
  • Snadnější řešení problémů: Pokud dojde k problému s certifikátem, MDM systém poskytuje nástroje pro vzdálenou diagnostiku a řešení problémů, což snižuje zátěž pro IT podporu.

Následující tabulka shrnuje hlavní rozdíly mezi ruční a automatickou instalací certifikátů:

Způsob instalace certifikátuAutomatická důvěra SSL/TLSDoporučeno proBezpečnostní poznámky
Ruční (e-mail, webový prohlížeč)NEJednotliví uživatelé pro osobní potřebu, testováníVyžaduje manuální důvěru uživatele, riziko instalace z nedůvěryhodných zdrojů.
Apple ConfiguratorANOMalé firmy, vývojáři, správa menšího počtu zařízeníVysoká kontrola, vyžaduje fyzický přístup k zařízením, automatická důvěra.
MDM (Mobile Device Management)ANOFirmy, školy, organizace s větším počtem zařízeníCentrální správa, vysoká bezpečnost, automatizace, vzdálené nasazení a aktualizace.

Důležité bezpečnostní poznámky a osvědčené postupy

Povolení plné důvěry pro kořenový certifikát je silné oprávnění, které by nemělo být zneužíváno. Certifikátům byste měli důvěřovat pouze v případě, že si jste absolutně jisti jejich zdrojem a účelem. Pokud si nejste jisti, raději certifikát nepovolujte a poraďte se s vaším IT oddělením nebo zkušeným odborníkem na bezpečnost. Pamatujte, že povolením nedůvěryhodného certifikátu můžete vystavit svá data riziku. Vždy ověřte, že certifikát pochází z legitimního a ověřeného zdroje.

Pokud je váš iPhone nebo iPad spravován vaší organizací prostřednictvím MDM, je možné, že některé z těchto možností budou omezeny nebo nebudou dostupné. V takovém případě byste měli kontaktovat svého IT administrátora, který vám pomůže s nasazením potřebných certifikátů.

Can I manually Trust a certificate profile in iOS & iPadOS?
If you manually install a profile that contains a certificate payload in iOS and iPadOS, that certificate isn't automatically trusted for SSL. Learn how to manually trust an installed certificate profile.

Často kladené otázky (FAQ)

Q: Proč můj nainstalovaný certifikát nefunguje, i když jsem ho nainstaloval?

A: Pokud jste certifikát nainstalovali ručně (např. stažením z e-mailu nebo webu), systém iOS/iPadOS mu automaticky neudělí plnou důvěru pro SSL/TLS. Musíte ho ručně povolit v Nastavení > Obecné > Informace > Nastavení důvěry certifikátům.

Q: Co znamená „Povolit plnou důvěru pro kořenové certifikáty“?

A: To znamená, že dáváte systému pokyn, aby plně důvěřoval tomuto certifikátu a všem certifikátům, které jsou jím podepsány (tj. certifikátům vydaným touto certifikační autoritou), pro účely zabezpečené komunikace SSL/TLS.

Q: Je bezpečné ručně důvěřovat certifikátům?

A: Ano, pokud si jste absolutně jisti, že certifikát pochází z důvěryhodného a legitimního zdroje (např. od vašeho zaměstnavatele, školy, nebo od známé a spolehlivé služby). Pokud si nejste jisti, nedoporučuje se certifikátu důvěřovat, protože by mohl být zneužit k útokům.

Q: Co se stane, když certifikátu nebudu důvěřovat?

A: Pokud certifikátu, který je potřeba pro SSL/TLS, nebudete důvěřovat, nebudete se moci připojit k určitým sítím, webovým stránkám nebo službám, které tento certifikát vyžadují. Můžete vidět chybová hlášení, jako jsou „Toto připojení není soukromé“ nebo „Server nelze ověřit“.

Q: Položka „Nastavení důvěry certifikátům“ se mi v Nastavení nezobrazuje. Proč?

A: Tato položka se zobrazí pouze v případě, že jste do svého zařízení ručně nainstalovali certifikát, který vyžaduje vaši důvěru. Pokud jste žádné takové certifikáty nenainstalovali, nebo pokud byly certifikáty nasazeny prostřednictvím MDM/Apple Configuratoru (které automaticky důvěřují), tato možnost se nezobrazí.

Q: Může MDM systém automaticky povolit důvěru pro mé certifikáty?

A: Ano, a je to doporučený způsob pro organizace. Certifikáty nasazené prostřednictvím MDM jsou automaticky důvěryhodné pro SSL/TLS, což zjednodušuje správu a zajišťuje konzistentní bezpečnostní politiky.

Q: Jak mohu odstranit certifikát, kterému jsem dříve důvěřoval?

A: Přejděte do Nastavení > Obecné > VPN a správa zařízení. Zde naleznete seznam nainstalovaných profilů. Klepněte na profil, který obsahuje certifikát, který chcete odstranit, a poté klepněte na „Odstranit profil“. Tím se odstraní jak profil, tak i certifikát.

Závěr

Pochopení toho, jak a proč ručně důvěřovat certifikátům v iOS a iPadOS, je klíčové pro každého uživatele, který se setkává s interními sítěmi, podnikovými aplikacemi nebo specifickými webovými službami. Ačkoli se jedná o jednoduchý proces, jeho význam pro vaši bezpečnost by neměl být podceňován. Vždy si ověřte zdroj certifikátu a zvažte rizika předtím, než mu udělíte plnou důvěru. Pro administrátory je pak jasnou volbou nasazení certifikátů prostřednictvím MDM, které zajišťuje automatickou důvěru a efektivní správu. Tímto způsobem můžete zajistit bezproblémové fungování vašich zařízení a zároveň udržet vysokou úroveň zabezpečení.

Chceš-li si přečíst další články podobné jako Ruční Důvěra Certifikátům v iOS a iPadOS, navštiv kategorii iPhone.

Go up