Infraštruktúra

Výkon, dostupnosť a správna DNS konfigurácia sú základom bezpečnej a spoľahlivej webovej prezentácie.

CAA — kto môže vydať certifikát pre vašu doménu

CAA (Certification Authority Authorization) je DNS záznam, ktorý presne určuje, ktoré certifikačné autority (CA) sú oprávnené vydať TLS certifikát pre vašu doménu. Bez CAA môže ľubovoľná z viac než 100 verejných CA na svete vydať certifikát pre vašu doménu.

Prečo je to problém

1 Útočník zneužije slabo zabezpečenú certifikačnú autoritu alebo kompromituje jej validačný proces.
2 Vyžiada platný TLS certifikát pre vašu doménu od tejto CA.
3 Použije certifikát na man-in-the-middle útok — návštevníci vidia zelený zámok, ale komunikujú s útočníkom.
4 Detekcia sa to ťažko detekovateľné — certifikát je technicky platný. Certificate Transparency logy to zachytia, ale až po vydaní.
Riešenie: CAA DNS záznam

vasadomena.sk. CAA 0 issue "letsencrypt.org"
vasadomena.sk. CAA 0 issuewild ";"
vasadomena.sk. CAA 0 iodef "mailto:security@vasadomena.sk"

Prvý riadok povoľuje len Let's Encrypt vydať certifikát. Druhý zakazuje wildcard certifikáty. Tretí nastaví notifikáciu pri pokuse o neoprávnené vydanie. Od roku 2017 sú všetky CA povinné kontrolovať CAA záznamy pred vydaním (RFC 8659, CA/Browser Forum Ballot 187).

IPv6 — príprava na budúcnosť

IPv4 adresy sú vyčerpané od roku 2011 (IANA) a regionálne od 2019 (RIPE NCC pre Európu). IPv6 nie je budúcnosť — je to súčasnosť. 45 % globálneho internetového traffiku už prebieha cez IPv6 (Google IPv6 Statistics, 2025).

45 %
globálny IPv6 traffic (Google, 2025)
65 %
mobilných zariadení prednostne používa IPv6
0
nových IPv4 adries dostupných pre pridelenie

Prečo by to malo zaujímať podnikateľa

Mnoho mobilných operátorov (T-Mobile, Orange, O2) už prednostne používa IPv6. Ak váš web nepodporuje IPv6, mobilní používatelia pristupujú cez NAT64/DNS64 prekldač — co pridáva latency 20-50 ms na každý požiadavok a znižuje spoľahlivosť.

Z bezpečnostného hľadiska: IPv6 eliminuje NAT, čo zjednodušuje firewall pravidlá a audit trail. Každé zariadenie má unikátnu adresu, čo uľahčuje sledovanie podozrivých aktivít.

HTTP/2 — výkon je bezpečnosť

HTTP/2 (RFC 7540) priniesol multiplexing — viac požiadavkov cez jedno TCP spojenie súčasne. HTTP/1.1 otvára 6-8 separátnych spojení, každé s vlastným TLS handshake. To je pomalší a menej bezpečný.

Prečo je výkon bezpečnosť? Pomalé stránky nútia používateľov používať nešifrované alternatívy, cachované kópie alebo proxy služby, ktoré obchadzaju vašu bezpečnosťnu politiku. Rýchla, bezpečná stránka je stránka, ktorú používatelia používajú tak, ako ste zamýšľali.

HTTP/1.1 v roku 2025

Ak váš server stále používa HTTP/1.1, každý navstevnik otvára 6-8 TCP spojeni na každú stránku. Každé spojenie vyžaduje separátny TLS handshake. Vysledok: vaša stránka je o 15-50 % pomalsia oproti HTTP/2. Navyse, HTTP/2 vyžaduje TLS — čím automaticky vynúti šifrovanie.

TTFB — Time to First Byte

TTFB meria, koľko času uplynie od odoslania požiadavku po prijatie prvého bajtu odpovede. Je to indikator zdravia vášho servera — pokrýva DNS resolúciu, TCP spojenie, TLS handshake a serverové spracovanie.

< 200 ms
výborné TTFB
200-600 ms
prijateľné TTFB
> 600 ms
problematické TTFB

Vysoke TTFB môže indikovat: preťažený server (riziko výpadku pri spike trafficu), neoprimalizovane databazove dotazy (potenciálne SQL injection povrch), alebo chýbajúce CDN (vzdialenost od používateľa zvysuje utocny povrch).

Dopad na biznis: Podľa Google kazda 100ms navyse v nacitani stránky znizi konverziu o 1.11 %. Pre e-shop s obratom 500,000 EUR ročne to je strata 5,550 EUR na kazdych 100ms.

Cache-Control — efektivita a bezpečnosť

Cache-Control určuje, ako prehliadač a proxy servery cacheuju obsah vašej stránky. Správne cachovanie znižuje záťaž servera o 40-70 % a zrýchľuje stránku pre opakovaných návštevníkov.

Bezpečnosťne riziko zlého cachovania

Ak cachujete stránky s osobnými údajmi (dashboard, profil, objednavky), zdielany proxy server alebo verejné CDN môže zobrazit data jedneho používateľa inemu. Toto je realny problém — v roku 2017 Cloudflare bug („Cloudbleed“) sposobil unik cachovaných dat medzi roznymi strankami.

Pravidlo: Stránky s osobnými údajmi musia mať Cache-Control: no-store, private. Statické assety (CSS, JS, obrazky) môžu mat dlhý cache s verzovanim.

Prečo je to dôležité — finančný dopad

1.11 %
strata konverzie na každých 100ms latency (Google)
€300K
priemerna cena 1h vypadku pre strednu firmu
53 %
mobilných používateľov opusti stránku nad 3s

Infrastrukturne nedostatky majú kumulativny efekt. Chýbajúci CAA záznam zvyšuje riziko neoprávneného certifikátu. Chýbajúce IPv6 spomaľuje mobilných používateľov. Pomalý TTFB znižuje konverziu. Zlý cache zvyšuje náklady na server. Kazdy problém sam o sebe je maly, ale spolu môžu znizit trzby o 10-30 %.

Čo sa stane ak to nemáte

Bez CAA

Lubovolna certifikacna autorita môže vydať certifikát pre vašu doménu. V prípade kompromitácie CA je vaša doména zraniteľná voci man-in-the-middle útoku s platným certifikátom.

Bez IPv6

45 % internetového trafficu prebieha cez IPv6. Bez AAAA DNS záznamu vasi mobilní používatelia pristupujú cez prekladace, čo spomaľuje stránku a znižuje spoľahlivosť. Niektoré enterprise siete už blokuju IPv4-only hosty.

Bez HTTP/2

Vaša stránka je o 15-50 % pomalsia nez konkurencia. Každý návštevník otvára zbytočné TCP spojenia. Vyrazne horsie mobilne používateľskú skusenost. Google používa rýchlosť stránky ako ranking faktor.

Bez správneho Cache-Control

Bez cachovania každý návštevník stiahne všetky assety znovu — väčšie naklady na bandwith a pomalsie nacitanie. S nespravnym cachovanim rizikujete unik osobnych údajov cez zdieľané proxy.

Regulatórne požiadavky

FrameworkČlánok / KontrolaPoziadavok
NIS2 Článok 21 ods. 2 písm. c) Kontinuita činnosti — dostupnosť a výkon služieb
SOC 2 CC7.1 Operácie systému — monitorovanie výkonu a dostupnosti
SOC 2 A1.1 Dostupnost — udrzovanie systému v operacnom stave
ISO 27001 A.17.1.1 Plánovanie kontinuity informačnej bezpečnosti
PCI DSS 4.0 Poziadavok 1.2.5 Sieťová bezpečnosť — správna konfigurácia infraštruktúry

Overte si stav vašej infraštruktúry

Náš audit skontroluje CAA, IPv6, HTTP/2, TTFB aj Cache-Control. Zistite, ci je vaša infraštruktúra pripravena.

Spustiť audit