🍪 Można ciasteczko?

Ta strona chce wykorzystywać pliki cookie do analizowania ruchu oraz mierzenia skuteczności i personalizacji reklam zgodnie z polityką prywatności. Zgadzasz się?

PORADNIKI

9 min. czytania

Co to jest certyfikat SSL?

Certyfikat SSL

Fot. welcomia / Depositphotos

Co to jest certyfikat SSL? Jak działa i co daje kłódka przy adresie strony internetowej. Rodzaje SSL, koszty + na co warto uważać.

Spis treści
Certyfikat SSL

Certyfikat SSL stał się już standardem podczas tworzenia stron internetowych. Brak takiego szyfrowania może narazić witrynę m.in. na trudności z wyświetlaniem, a także na spadki pozycji w wynikach wyszukiwania.

Gdy mowa o certyfikacie SSL, przed oczami powinna od razu pojawić się ikonka kłódki przy pasku adresu strony w przeglądarce. To właśnie ta kłódka potwierdza, że nawiązywane jest bezpieczne połączenie pomiędzy odwiedzającym witrynę a serwerem, na którym przechowywane są pliki strony internetowej.

Obecnie trudno mówić o skutecznej i widocznej stronie internetowej bez takiego certyfikatu. Zobacz, czym cechuje się takie rozwiązanie i dlaczego warto się na nie zdecydować.

Co to jest certyfikat SSL? Definicja

Jednak zacznijmy od odpowiedzi na podstawowe pytanie: co to jest certyfikat SSL? Oto definicja:

Certyfikat SSL (ang. Secure Socket Layer) to poświadczenie wiarygodności danej domeny internetowej lub jej właściciela oraz potwierdzenie pełnego szyfrowania transmisji danych między przeglądarką użytkownika a serwerem.

W praktyce certyfikat SSL potwierdza, że przesyłane dane są szyfrowane. Uniemożliwia to dostęp osób niepowołanych do takich informacji.

HTTPS kontra HTTP
HTTPS kontra HTTP

Jak działa protokół SSL?

Żeby zrozumieć działanie protokołu SSL, warto zobaczyć, jak wygląda komunikacja pomiędzy przeglądarką a serwerem bez takiego szyfrowania.

Komunikacja w Internecie odbywa się za pośrednictwem protokołu HTTP (Hypertext Transfer Protocol). To międzynarodowy standard. To właśnie w tym protokole określone są wszystkie szczegóły dotyczące tego, jak wygląda transfer danych pomiędzy przeglądarką a serwera i jak reagować ma serwer na wysłane zapytania.

W skrócie: przeglądarka (po wpisaniu adresu strony przez użytkownika) wysyła zapytanie do serwera. Ten odsyła klientowi dane, pozwalające na wyświetlenie witryny internetowej.

W przypadku bezpiecznego połączenia SSL (protokołu HTTPS), proces ten jest znacznie bardziej rozbudowany. W dużym uproszczeniu, po wpisaniu adresu strony przez użytkownika:

  1. Przeglądarka wysyła zapytanie do serwera.
  2. Serwer przesyła dane uwierzytelniające – czyli kopię certyfikatu SSL – do przeglądarki.
  3. Przeglądarka sprawdza, czy certyfikat jest ważny i poprawny.
  4. Jeżeli certyfikat jest poprawny – nawiązywane jest bezpieczne połączenie.
  5. W ramach bezpiecznego połączenia między przeglądarką a serwerem przesyłane są dane.

Dane są szyfrowane – w związku z tym nawet ich przejęcie nie doprowadzi do nieautoryzowanego dostępu osób z zewnątrz.

Certyfikat SSL wydawany jest przez niezależne instytucje. To właśnie one gwarantują bezpieczeństwo podczas przesyłania danych. 

Dlaczego trzeba mieć certyfikat SSL?

Chciałbym od razu zaznaczyć, że certyfikat SSL wcale nie jest obowiązkowy. Możesz w dalszym ciągu korzystać z nieszyfrowanego połączenia HTTP. Jednak musisz liczyć się z tym, że brak protokołu SSL będzie się wiązać ze sporymi problemami dla Twojej strony.

Chodzi tutaj o coś znacznie więcej niż tylko kłódkę przy pasku adresu w przeglądarce internetowej. SSL będzie mieć wpływ na Twoją stroną w kilku kluczowych obszarach.

Bezpieczeństwo

Jednym z najważniejszych atutów certyfikatu SSL jest bezpieczeństwo. Dane osobowe użytkowników są prawnie chronione. RODO nakłada liczne obowiązki na każdego administratora takich danych. Jeżeli dane osobowe zostaną przejęte przez osoby niepowołane, wówczas właścicielowi strony internetowej grożą finansowe kary. (zobacz: Hosting a RODO)

Certyfikat SSL oczywiście nie wyczerpuje całego tematu zabezpieczeń związanych z przetwarzaniem danych osobowych (zobacz: jak wybrać bezpieczny hosting). Jednak jest bardzo skutecznym narzędziem minimalizującym ryzyko przejęcia danych przez osoby niepowołane.

Pamiętaj, że instytucja wystawiająca certyfikat daje Ci faktyczną gwarancję bezpieczeństwa i integralności danych. Niekiedy wiąże się to także z gwarancją finansową (ustaloną w zależności od rodzaju certyfikatu). 

Doświadczenie i zaufanie

SSL jest standardem na całym świecie. Jeżeli Twoja strona ma ważny certyfikat, każdy odwiedzający widzi kłódkę przy pasku adresu, poświadczającą, że dane połączenie jest bezpieczne. Dzięki temu użytkownik wie, że dana domena jest zweryfikowana.

Co z tego wynika? Przede wszystkim może on bez obaw odwiedzić stronę internetową. Nie musi bać się, że e-mail podany w formularzu kontaktowym od razu padnie ofiarą spamu. Wie, że jeżeli zdecyduje się na zakup lub założenie konta na stronie, jego dane będą bezpieczne.

To bardzo ważne zagadnienie związane z projektowaniem UX (user experience), czyli opartym na jak najlepszym doświadczeniu użytkownika. Pamiętaj, że jeżeli odwiedzający zrazi się do Twojej strony, to istnieje duże prawdopodobieństwo, że już na nią nie wróci.

Konwersja

Niezależnie od tego, czy prowadzisz sklep internetowy, bloga czy stronę-wizytówkę swojej firmy – na pewno zależy Ci na dużej ilości odwiedzających. Jednak sam ruch nie wystarczy – istotne jest to, aby odwiedzający podjął oczekiwane przez Ciebie działania. Może to być np. zakup w sklepie czy zapisanie się do newslettera (zobacz: programy do newsletterów). 

Zastanów się jednak – jak użytkownik ma zostawić swoje dane, jeżeli ma obawy dotyczące bezpieczeństwa pozostawianych informacji? Strona pozbawiona certyfikatu SSL to dla zdecydowanej większości użytkowników sygnał ostrzegawczy. Zamiast zostawiać dane na niezabezpieczonej stronie, odwiedzający może dokonać zakupu lub poszukać informacji gdzie indziej.

Komunikat w przeglądarce, ze strona nie ma SSL i jest niezabezpieczona.
Czy zrobisz zakupy w sklepie, w którym wyświetla się taka informacja?

W związku z tym istnieje silna zależność pomiędzy certyfikatem SSL a konwersją na stronie. Jeżeli nie masz go zainstalowanego na stronie – z pewnością utrudni to osiągnięcie Twoich zamierzonych celów marketingowych.

SEO i kampanie płatne 

A gdy już jesteśmy przy marketingu – nie można nie wspomnieć o pozycjonowaniu. Zwiększanie widoczności strony w wyszukiwarce to jedno ze skuteczniejszych narzędzi umożliwiających rozpromowanie Twojej witryny – a zatem także Twojego biznesu.

Podczas oceniania strony, Google bierze pod uwagę wiele czynników. Istotne są wartościowe treści, mobilna wersja witryny oraz szybkość jej ładowania. Wiedz jednak, że certyfikat SSL jest także jednym z kluczowych czynników, które algorytmy biorą pod uwagę podczas ratingu. Jeżeli go nie masz – na pewno zaszkodzi to pozycji Twojej strony w wynikach wyszukiwania.

Wiedz także o tym, że SSL ma wpływ także na Google Ads. Jeżeli Twoja strona zbiera jakiekolwiek dane użytkowników – do uruchomienia kampanii płatnej konieczny jest certyfikat SSL.

Najnowsze wersje protokołu HTTP

Protokół HTTP jest aktualizowany przez lata. Popularnym rozwiązaniem jest protokół HTTP/2, obecnie wdrażana jest jego najnowsza odsłona, czyli HTTP/3. Oferuje ona liczne udogodnienia związane z bezpieczeństwem i szybkością ładowania strony. Jednak, żeby móc korzystać z tego protokołu… konieczny jest certyfikat SSL.

Najnowsza odsłona HTTP jest obsługiwana wyłącznie z wykorzystaniem certyfikowanego, szyfrowanego połączenia. 

Monity bezpieczeństwa

Strony bez certyfikatu SSL mogą mieć niekiedy problemy z załadowaniem się. W zależności od przeglądarki, wyświetleniu takiej witryny może towarzyszyć ostrzeżenie czy nawet alert blokujący jej załadowanie.

Monit o braku SSL
Dostęp do strony bez SSL może być blokowany przez przeglądarkę

Zobacz: Błąd „Połączenie nie jest prywatne” i „Połączenie nie jest bezpieczne”. Jak naprawić?

Rodzaje certyfikatów SSL

Wyróżnia się trzy rodzaje certyfikatów. Różnią się one przede wszystkim oferowanym poziomem zabezpieczeń.

  • Certyfikat DV (Domain Validation) to podstawowy typ zabezpieczeń. Certyfikat weryfikuje prawo właściciela strony do posługiwania się daną domeną – potwierdza jej autentyczność.
  • Certyfikat OV (Organization Validation) poza autentycznością domeny potwierdza także autentyczność właściciela. Klient ma możliwość sprawdzenia danych firmy (właściciela strony) w szczegółach certyfikatu. 
  • Certyfikat EV (Extended Validation) to najwyższy poziom zabezpieczeń, stosowany przede wszystkim w branży finansowej. Urząd Certyfikacji weryfikuje tożsamość właściciela strony m.in. w państwowych bazach danych. 

Rodzaje certyfikatów SSL: DV, OV, EV
Certyfikat EV może wyświetlać nazwę firmy już w pasku adresu w przeglądarce

Jest jeszcze jeden dodatkowy tym certyfikatu – Wildcard SSL.

Wildcard SSL to certyfikat bezpieczeństwa używany do zabezpieczania wielu subdomen w ramach jednej głównej domeny. Działa to dzięki specjalnemu symbolowi, zwanemu „wildcard”, którym jest gwiazdka (*).

Na przykład, jeśli posiadasz domenę przyklad.pl i chcesz zabezpieczyć wszystkie jej poddomeny (takie jak blog.przyklad.pl, sklep.przyklad.pl, forum.przyklad.pl itp.), możesz użyć certyfikatu wildcard SSL. W takim przypadku certyfikat będzie wyglądał mniej więcej tak: *.przyklad.pl.

Ile kosztuje certyfikat SSL?

Jeżeli już znasz zalety SSL i rozumiesz podstawy jego funkcjonowania, na pewno zainteresuje Cię koszt takiego certyfikatu. Ceny mogą się różnić – w zależności od jego typu, a także od dostawcy oferującego dane rozwiązanie.

Niektóre certyfikaty mogą kosztować nawet powyżej 1000 zł rocznie. Inne wiążą się z opłatą na poziomie 100 zł rocznie. Na pewno ucieszy Cię fakt, że możliwe jest także uzyskanie darmowego certyfikatu SSL. Co więcej – takie rozwiązanie wiąże się ze wszystkimi korzyściami związanymi z korzystaniem z szyfrowanego połączenia internetowego.

Darmowy czy płatny SSL?

Darmowy certyfikat SSL to świetne rozwiązanie, dzięki któremu nie musisz liczyć się ze zwiększeniem kosztów utrzymywania strony – a jednocześnie możesz zapewnić bezpieczne połączenie pomiędzy serwerem a klientem. Możesz przy tym korzystać ze wszystkich wcześniej wspomnianych udogodnień związanych z kampaniami płatnymi, pozycjonowaniem itd.

Wiedz jednak, że certyfikaty bezpłatne ograniczają się wyłącznie do typu DV. Wymagają one częstszego odświeżania niż wersje komercyjne (np. 3 miesiące zamiast 1 roku), ale w większości przypadków dba o to nasz hosting, więc poza kilkoma kliknięciami w panelu na początku, nie musimy się tym przejmować.

Zobacz: Płatny vs darmowy certyfikat SSL: FAKTY i MITY i dowiedz się, dlaczego nie warto płacić za SSL. Przeczytaj też o hostingach z darmowym certyfikatem SSL np. popularnym Let’s Encrypt.

Jak sprawdzić czy strona ma SSL?

Możesz łatwo sprawdzić, czy na stronie jest zainstalowany taki certyfikat. Wystarczy, że wpiszesz adres witryny w przeglądarkę. Jeżeli obok adresu pojawi się zamknięta kłódka – oznacza to, że strona jest chroniona protokołem SSL. Strona z certyfikatem SSL automatycznie nawiązuje połączenie szyfrowane – w związku z tym przed adresem pojawi się przedrostek https://.

Klikając w szczegóły połączenia możesz także znaleźć dane o firmie, dla której został wystawiony certyfikat – jednak ta opcja jest możliwa wyłącznie w przypadku rodzajów EV oraz OV. 

Zobacz: Certyfikaty SSL w polskim internecie – wyniki badania

O czym pamiętać wdrażając SSL?

Mam nadzieję, że teraz masz świadomość, że certyfikat SSL nie kosztuje majątku. Korzyści wynikające z jego wdrożenia są naprawdę istotne dla każdej strony internetowej. Jednak podczas instalacji certyfikatu, musisz pamiętać o kilku ważnych kwestiach. 

Oto kilka z nich:

  • ustaw przekierowanie z http:// na https:// – dzięki czemu nawet stare linki do strony będą automatycznie korzystać z bezpiecznego połączenia;
  • pamiętaj o linkowaniu do zasobów strony z wykorzystaniem przedrostka https:// – popraw linki do plików, jeżeli nie zostały automatycznie zaktualizowane;
  • upewnij się, czy wszystkie zasoby strony (np. filmy czy grafiki) są wysyłane na serwer za pośrednictwem bezpiecznego połączenia – sprawdź, czy adres został zaktualizowany także w ustawieniach Twojego systemu CMS;
  • dopilnuj, aby zmienić adres strony w Google Search Console czy Google Analytics;
  • rozważ wdrożenie na stronie mechanizmu HSTS, który wymusi na odwiedzających używanie wersji strony z certyfikatem SSL i zabezpieczy ich przed niektórymi atakami;
  • pamiętaj, że certyfikat SSL jest wydawany na określony czas – nie zapomnij go regularnie odnawiać – chyba że zadba o to Twój hosting.

Zobacz: Jak uruchomić SSL, czyli HTTPS na stronie w WordPressie i nie tylko?

Certyfikat SSL to powszechnie przyjęty standard. Nie ma się co wzbraniać przed jego instalacją – warto zrobić to jak najszybciej. Pamiętaj, że zapewnienie bezpiecznego połączenia to nie tylko ochrona przesyłanych danych, ale także lepsza widoczność, wyższa konwersja i większe zaufanie użytkowników.

Przeczytaj też: