Certyfikat SSL - co to jest?

Spis treści:

1. Co to jest certyfikat SSL?
2. Po co mi certyfikat?
3. Ile kosztują SSL, certyfikaty i ich rodzaje
4. Podsumowanie

Co to jest certyfikat SSL?

Jeśli szukasz technicznej i dokładnej definicji certyfikatu SSL to zajrzyj do Wikipedii, bo jak wiesz zawsze staram się pisać językiem zrozumiałym dla normalnego człowieka, a nie po informatykowemu (terminy typu "secure socket layer" czy "transport layer security" nikogo z nas nie interesują).

Certyfikat SSL to ta kłódeczka, którą masz obok adresu Twojej strony WWW (czyli domeny, w pasku adresu Twojej przeglądarki). Jej zadanie to ochrona danych osobowych użytkowników Twojej strony.

Strony WWW wyświetlają się w Twojej przeglądarce dzięki protokołowi HTTP. Certyfikat SSL dodaje do tego protokołu literkę S, dzięki czemu stajesz się posiadaczem protokołu HTTPS. Ta literka S oznacza secure, czyli bezpieczeństwo.

Normalny adres strony WWW to np. HTTP://WWW.DONETA.PL, strona z certyfikatem SSL ma adres HTTPS://WWW.DONETA.pl.
I właśnie ten S powoduje wyświetlanie kłódeczki obok adresu strony WWW.

Strony WWW oglądamy w przeglądarkach internetowych (np. Chrome, Firefox, Opera, Internet Explorer, Safari). Kiedy uzupełniasz na stronie WWW np. formularz kontaktowy, zapisujesz się do newslettera czy robisz zakupy w sklepie internetowym to dane, które wprowadziłeś w formularzu (np. Twoje imię i nazwisko, email, adres, hasła) są wysyłane na serwer. I certyfikat SSL szyfruje te przesyłane dane, by osoby trzecie nie mogły ich przejąć podczas podróży pomiędzy przeglądarką a serwerem.

Po co mi certyfikat SSL?

Są cztery powody, dla których certyfikaty SSL warto kupować.

1 . Bezpieczeństwo

Jak wiemy protokół HTTPS szyfruje przesyłane dane z przeglądarki (np. imię i nazwisko, email, dane adresowe, hasła) na serwer. Warto te dane szyfrować w przypadku posiadania sklepów internetowych, bo gwarantuje to bezpieczeństwo Twoich kupujących.

2 Strona z SSL budzi zaufanie

Mało kto o tym mówi, ale jeśli masz stronę WWW, na której nie ma żadnych formularzy kontaktowych, zapisów do newslettera to... taki certyfikat SSL jest zbędny, bo nie ma czego szyfrować.

Niestety, twórcy przeglądarek internetowych postanowili inaczej i straszą każdego, kto wchodzi na stronę WWW bez certyfikatu SSL takim komunikatem:

I teraz ważna kwestia - większość z nas nie wie, co to jest certyfikat SSL. Nie wiemy do czego służy i jakie ma zastosowanie. Większość z nas nie wie, że nie wszystkie strony potrzebują certyfikatu SSL dlatego powinieneś go kupić, by Twoja strona nie straszyła Twoich potencjalnych klientów i zawsze miała kłódeczkę. Niezależnie czy powinna ją mieć czy nie.

3 Lepsze pozycjonowanie w Google

Google napisało wprost, że strony z certyfikatem SSL są wyżej w wynikach wyszukiwania i potwierdzi to każdy spec od pozycjonowania. Jeśli chcesz by Twoja strona internetowa była wysoko w Google, to powinieneś kupić protokół SSL

4 Reklama w Google Ads

Strony bez certyfikatów SSL nie mają możliwości wykupienia płatnych reklam w Google Ads. Jeśli w pasku adresu nie masz kłódki obok domeny to reklamowanie strony w internecie będzie bardzo kłopotliwe i dużo droższe.

5. RODO

Zgodnie z RODO administrator danych osobowych musi dołożyć wszelkich starań, by były one bezpieczene (cokolwiek to znaczy). Jeśli więc będziesz miał wyciek danych i nie będziesz posiadał certyfikatu SSL możesz zostać oskrażony o zaniechanie w tym temacie.

Kiedy nie mam "zielonej kłódki" (bo kiedyś była zielona ;))

Podsumowując powyższe, jeśli nie masz SSLa, to:

• Pozycjonowanie i reklamy Twojej strony będą niemożliwe lub dużo droższe niż normalnie.
• Twoi klienci mogą się bać komunikatów "NIEZABEZPIECZONA" w przeglądarce.
• Ktoś może łatwiej wykraść dane Twoich użytkowników i klientów, czyli nie spełniasz obowiązku wynikającego z RODO.

Ile kosztuje certyfikat SSL?

Są różne certyfikaty SSL, jedne są droższe, inne są tańsze. Czym się różnią i który kupić dla Twojej strony internetowej?

Kliknij w ten link i sprawdź: cennik certyfikatów SSL

Darmowy certyfikat SSL

Dobra wiadomość jest taka, że jest darmowy certyfikat SSL i nazywa się Let's Encrypt. Jednak o ile jest to darmowy certyfikat, o tyle jego instalacja na serwerze, utrzymanie i sama instalacja na stronie WWW wymaga pracy specjalisty. Firmy hostingowe ten darmowy certyfikat SSL zwykle albo oferują w cenie hostingu (podnosząc przez to jego cenę) albo doliczają za instalację na serwerze tego darmowego certyfikatu niewielką opłatę za prace programisty.

Często klienci pytają mnie: ale jak to opłata, skoro przecież to darmowy certyfikat SSL? A ja wtedy odpowiadam, że każdy może go samemu pobrać i zainstalować stąd: https://letsencrypt.org/getting-started/ ☺

Wady darmowego SSLa?

Darmowy certyfikat ma taką zaletę, że jest darmowy. Każdy może go zainstalować na serwerze i podpiąć pod niego dowolną domenę. Darmowy certyfikat SSL nie weryfikuje właściciela domeny (niepotrzebne są dane Twojej firmy ani nawet firmowy e-mail).

Darmowy certyfikat SSL nie daje też żadnych gwarancji na to, że nie zostanie złamany. Darmowy SSL to tylko kłódeczka obok Twojej domeny w pasku adresu i podstawowe szyfrowanie przesyłanych danych osobowych.

Dla kogo darmowy certyfikat SSL?

Jeśli posiadasz stronę internetową, która jest tylko prostą wizytówką firmową zwierającą Twoją ofertę wynajmu automatów do gier lub prowadzisz bloga, na którym doradzasz jakiego bukmachera wybrać dla zakładów bukmacherskich online na żywo to darmowy certyfikat jest dla Ciebie.

Płatne certyfikaty SSL

Jest kilka typów płatnych certyfikatów SSL, a im droższy certyfikat SSL tym większe korzyści dla ich posiadacza.

Sposób weryfikacji właściciela domeny

W przypadku certyfikatów, sposób ich nadawania to jeden z najważniejszych elementów, które znacznie wpływają na cenę.

Certyfikat DV (Domain Validation)

Jest to SSL certyfikat, który nie weryfikuje w żaden sposób tego, kto jest właścicielem domeny. Możemy go kupić jeśli mamy dostęp do konta e-mail w domenie, do której certyfikat zamawiamy.

Taki certyfikat generowany jest automatycznie. Są to najtańsze certyfikaty.

Certyfikat OV (Organization Validation)

Te certyfikaty sprawdzają właściciela domeny poprzez przesłanie dokumentów rejestrowych firm i faktury za domenę (weryfikują prawo do posługiwania domeną). Tego certyfikatu nie kupimy automatycznie, musimy na niego kilka dni poczekać. To średnia półka certyfikatów.

Certyfikat EV (Extended Validation)

To wysoka półka certyfikatów SSL. Takiego certyfikatu SSL łatwo nie dostaniesz. Urząd Certyfikacji szczegółowo weryfikuje firmę, która zgłasza prawo do posiadania takiego certyfikatu. Dokładnie sprawdzana jest tożsamość firmy ubiegającej się o taki certyfikat (weryfikacja praw do domeny, sprawdzenie firmy w bazach urzędowych, a nawet kontakt telefoniczny). Weryfikują prawo do posługiwania się domeną.

Taki certyfikat pokazuje dla jakiej firmy jest wystawiony. Posiadają go najczęściej banki i inne instytucje finansowe, np. płatności online. To najdroższe certyfikaty SSL z dostępnych na rynku.

Długość klucza

Za szyfrowanie danych osobowych z formularzy na Twojej stronie WWW odpowiada klucz. Im więcej ma bitów (czyli im jest dłuższy) tym dłuższa wartość klucza publicznego i tym trudniej go złamać.

SSL - certyfikat z subdomeną czy bez?

Najtańsze certyfikaty SSL obejmują działaniem jedną domenę, czyli adres Twojej strony w sieci. Na przykładzie Donety certyfikat działa dla adresów www.doneta.pl i doneta.pl. Subdomena naszego bloga czyli blog.doneta.pl i www.blog.doneta.pl nie będą już chronione. Musisz kupić dla każdej subdomeny osobny certyfikat SSL lub kupić certyfikat Wildcart, który obejmuje również subdomeny.

Gwarancja finansowa szyfrowanego połączenia certyfikatu SSL

Wydawca certyfikatu SSL daje Ci gwarancję na grubą kasę. Jeśli ktoś złamie klucz certyfikacji SSL wystawcy certyfikatu otrzymasz od Wydawcy rekompensatę finansową - nawet do 2 000 000 dolarów (choć kwota gwarancji dla każdego certyfikatu SSL jest inna).

Cennik certyfikatów SSL

Ile kosztują certyfikaty SSL? Kliknij w ten link i sprawdź: cennik certyfikatów SSL.

Jak zainstalować certyfikat SSL?

Instalacja certyfikatu SSL jest dość skomplikowana, a na każdym serwerze wygląda inaczej (inaczej w Cyber Folks, inaczej w nazwa.pl, inaczej w home.pl). Niedługo przygotujemy poradnik jak kupić i jak zainstalować certyfikat samemu, na popularnych kontach hostingowych, ale... najlepiej poprosić o to firmę hostingową, w której masz wykupione usługi. Większość z nich robi to bezpłatnie w ramach opłat za serwer, a masz pewność, że certyfikat SSL zostanie zainstalowany tak jak powinien.

Druga sprawa, to konfiguracja Twoich stron WWW i sklepów internetowych. Jak już kupisz certyfikat, to musisz go podpiąć pod swoją swoją stronę. Musisz ustawić automatycznie przekierowanie z adresu HTTP na HTTPS oraz sprawdzić, czy Twoja strona nie wczytuje zasobów bez certyfikatu (firma, ktora robiła Ci stronę WWW będzie wiedziała o co chodzi).

(Przykład strony z niepodpiętym certyfikatem SSL do domeny)

Podsumowanie

Wiesz już, że SSL to nic innego jak szyfrowania danych pomiędzy serwerem a przeglądarką, że certyfikat odpowiada za kłódki obok adresów stron WWW. Wiesz, że certyfikat to głównie bezpieczeństwo, ale Google dobrze na niego patrzy w kwestii pozycjonowania czy płatnych reklam. Wiesz, że protokołem SSL warto się zainteresować bo zabezpieczenie transmisji danych, przesyłanych z przeglądarki do serwera to kwestia odpowiedzialności i bezpieczeństwa.

Jaki certyfikat SSL wybrać dla strony WWW, a jaki certyfikat SSL dla sklepu internetowego? Jeśli strony są z sektora małych i średnich przedsiębiorstw, a Ty nie jesteś instytucją finansową to powinieneś wybrać rodzaj certyfikatu bezpłatny lub najtańszy DV (Domain Validation). Jeśli podstawą Twojej marki jest zaufanie, certyfikat EV (extended validation) będzie dla Ciebie odpowiedni - mimo większej ceny.