V průběhu svého studia a IT kariéry jsem se specializoval na implementaci a správu kryptografických systémů a infrastruktury privátní certifikační autority. Tato oblast představuje kritickou vrstvu bezpečnosti v moderních IT systémech a vyžaduje hluboké technické znalosti, precizní implementaci a kontinuální sledování nejnovějších trendů.
Pokročilé konfigurace pro maximální bezpečnost a výkon
Na základě rozsáhlých zkušeností s kompilací NGINX webového serveru se specializuji na přizpůsobenou kompilaci s BoringSSL / QuicTLS / OpenSSL pro optimální výkon a bezpečnost. Implementuji Post-quantum kryptografii (X25519MLKEM768) pro ochranu proti budoucím útokům a HTTP/3 QUIC protokol s TLS1.3 pro maximální výkon. Optimalizuji použité šifrovací algoritmy pro různé scénáře použití.
Připravuji síťové prostředí na požadavky uznávaných standardů jako NIST SP 800-52r2, FIPS 140-3, PCI DSS 4.0.1. Implementuji "Always HTTPS" pomocí HSTS a preload listu. Integruji OCSP Stapling pro optimalizaci rychlosti webového serveru a zajištění okamžitého ověření platnosti certifikátů.
Automatizuji generování důvěryhodných certifikátů pro veřejné služby pomocí ACME protokolu. Monitoruji expiraci certifikátů pro předcházení nedostupnosti služeb. Implementuji přechod z RSA na ECC klíče pro optimalizaci rychlosti aplikací při zachování vysoké úrovně bezpečnosti.
Vytvářím a spravuji kompletní řetězec privátní certifikační autority. Implementuji automatický enrollment zařízení pro certifikát pomocí SCEP protokolu. Konfiguruji veřejně přístupný CRL a OCSP pro ověření platnosti vydaného certifikátu, což zajišťuje důvěryhodnost celé infrastruktury.
S kterými pracuji