Założę się, że niejednokrotnie słyszałeś o certyfikatach SSL, jednak nigdy nie zgłębiałeś tego tematu głębiej. Nie ma w tym nic dziwnego. Dla przeciętnego użytkownika Internetu szyfrowanie i kwestie bezpieczeństwa zaczynają być istotne dopiero w momencie pojawienia się poważnego zagrożenia. Lub co gorsza w sytuacji utraty danych osobowych. Jeśli nosisz się właśnie z zamiarem uruchomienia własnej strony internetowej lub już ją posiadasz, musisz wiedzieć o certyfikatach SSL znacznie więcej. W tym artykule wyjaśnię Ci, jak działają, jakie są ich rodzaje i jakie korzyści niesie za sobą ich posiadanie. I nie, nie musisz się martwić o koszty. Dobry certyfikat możesz mieć za darmo! 

Czym zatem jest SSL (ang. Secure Socket Layer)? Najogólniej rzecz ujmując jest to protokół sieciowy, używany do bezpiecznych połączeń internetowych. Bezpiecznych połączeń, czyli takich, które zapewniają poufność transmisji danych wysyłanych za pośrednictwem Internetu między komputerem użytkownika a serwerem.

Mając na uwadze powyższe, a także fakt, że protokół SSL jest prosty w instalacji, działaniu i dodatkowo ma uniwersalny charakter, szybko został przyjęty jako standard szyfrowania stron internetowych. Musisz być jednak świadomy tego, że z certyfikatu SSL korzystać może nie tylko protokół HTTP, ale również FTP – nie jest to jednak zbyt częste jego zastosowanie. 

Certyfikaty SSL cieszą się dużym zainteresowaniem wszystkich tych podmiotów, które stawiają na pierwszym miejscu kwestie bezpieczeństwa danych swoich użytkowników. A tych, jak możesz się domyślać, jest naprawdę mnóstwo i ciągle przybywa, gdyż w coraz większym stopniu nasze życie przenosi się do sieci. Poufne dane zostawiamy dziś w wielu miejscach – nie tylko podczas wykonywania przelewów, ale również rezerwowania biletów, zakupów online czy też rejestracji kont w najróżniejszych serwisach internetowych. Ryzyko dostania się ich w niepowołane ręce jest niestety spore – certyfikat SSL szyfruje transmisję danych, dzięki czemu podnosi nieco poziom bezpieczeństwa. 

Więcej o tym, jak działa i dlaczego warto używać certyfikatów SSL, dowiesz się z artykułu: Co to jest certyfikat SSL?

Jaki certyfikat SSL wybrać?

No dobra, wiesz już, czym jest certyfikat SSL i jaką pełni funkcję. Czas byś poznał podstawową klasyfikację certyfikatów. Łatwiej będzie Ci dzięki temu zorientować się, czego tak naprawdę potrzebujesz na swojej stronie internetowej. Do rzeczy – certyfikaty SSL dzielimy na:

  • Certyfikaty DV (Domain Validation) – certyfikaty tej klasy zapewniają podstawowe uwierzytelnienie, jednak mimo to są wystarczające w dla niemalże 99% stron internetowych.  Weryfikacja w ich przypadku polega jedynie na sprawdzeniu własności domeny. Jeśli jesteś jej właścicielem nie będziesz miał najmniejszych problemów z jego uzyskaniem.
  • Certyfikaty OV (Organization Validation) – zasada jego działania jest analogiczna, a podstawowa różnica polega na tym, że  certyfikaty tej klasy przeznaczone są dla firm. Związane jest to z procesem weryfikacji. W ich przypadku sprawdzana jest nie tylko własność domeny, ale również dane firmy. Wnioskujący o certyfikat musi tym samym przedstawić dokumenty potwierdzające prowadzoną działalność gospodarczą. 
  • Certyfikaty EV (Extended Validation) – choć często reklamowane jako te, które zapewniają najwyższy poziom bezpieczeństwa, tak naprawdę działają dokładnie tak samo jak certyfikaty klas DV i OV. Różnica polega jedynie na dokładniejszej weryfikacji firmy wnioskującej o certyfikat. Jak poznać, czy strona posiada certyfikat tej klasy? Jest to bardzo proste – jeśli w pasku adresowym przeglądarki widzisz informację z nazwą firmy, możesz być pewny, że strona ta posiada certyfikat klasy EV. Najczęściej na certyfikat taki decydują się banki i inne instytucje finansowe.

Poniżej galeria pokazująca jak wygląda brak certyfikatu, standardowy certyfikat, oraz certyfikat EV w przeglądarce Chrome:

Brak certyfikatu SSL w Chrome
Brak certyfikatu SSL
Poprawny certyfikat SSL w Chrome
Poprawny certyfikat SSL
Certyfikat EV w Chrome
Certyfikat EV

Czy certyfikat SSL jest mi naprawdę potrzebny?

Certyfikat SSL jest dziś pewnym standardem i zdecydowanie powinieneś rozważyć jego wdrożenie na swojej stronie. Jest to jedna z rzeczy niezbędnych na firmowej stronie www. Jeśli jeszcze nie udało mi się przekonać Cię do jego posiadania, pozwól, że przytoczę w kilku punktach najważniejsze zalety korzystania z takich rozwiązań. Uwzględnię zarówno te oczywiste, o których wcześniej już co nieco napisałem, ale również te, o których pewnie nawet nie pomyślałeś. Co zatem daje posiadanie certyfikatu?

  • Zapewnia bezpieczeństwo
    Zacznę od kwestii podstawowej, czyli bezpieczeństwa. Rolą certyfikatów SSL jest szyfrowanie danych wymienianych między użytkownikiem a stroną internetową. Dzięki niemu korzystanie z Twojej strony jest dla jej użytkowników naprawdę bezpieczne. Przeczytaj poradnik dot. bezpieczeństwa hostingu, aby dowiedzieć się, na co jeszcze zwracać uwagę w kwestii bezpieczeństwa stron WWW.
  • Gwarantuje niezawodne działanie
    Skuteczne zabezpieczenie danych osobowych Twoich użytkowników jest niezwykle trudnym zadaniem. Możesz być jednak spokojny o działanie certyfikatów SSL. Są one niezawodne. Oparte na protokole TLS 1.3 zapewniającym poufność i integralność transmisji danych, który charakteryzuje się bardzo wysoką odpornością na wszelkie ataki i próby złamania.
  • Dodaje wiarygodności
    Wiarygodność w Internecie jest niezwykle istotna. Stajemy się coraz bardziej świadomi zagrożeń czyhających w sieci i coraz większą uwagę zwracamy na kwestie związane z bezpieczeństwem naszych danych. Korzystając z certyfikatu dajesz jasny sygnał swoim użytkownikom, że kwestie bezpieczeństwa są dla Ciebie istotne i dokładasz wszelkich starań, by zagwarantować im niezbędne zabezpieczenie. Jest to szczególnie ważne zwłaszcza w przypadku wiarygodności sklepów internetowych. Sam przyznaj, że zwracasz na to uwagę, w momencie zakupów czy rejestracji konta w jakimkolwiek serwisie?
  • Wpływa na pozycję Twojej strony w wyszukiwarkach
    Przejdźmy teraz do nieco bardziej wymiernych korzyści. Pewnie wiesz już, że być lub nie być w Internecie wiąże się z obecnością Twojej strony na wysokich pozycjach w wynikach wyszukiwania. Nie będę się przesadnie rozpisywał na ten temat, gdyż jest to bardzo rozległy i złożony temat, jednak zaznaczę, że posiadanie certyfikatu SSL korzystnie wpływa na SEO. Algorytmy wyszukiwarek premiują strony z certyfikatami, więc jest to bardzo istotny argument przemawiający za jego szybkim wdrożeniem.
  • Wspiera budowanie zaufania wśród użytkowników
    Już na samym początku swojej przygody z własnym serwisem internetowym (blogiem, sklepem czy portalem) zorientujesz się, że jednym z największych wyzwań będzie zbudowanie zaufania wśród czytelników / klientów. Autentyczność i rzetelna informacja są dziś w cenie, więc nie możesz o tym zapominać. Skutecznym sposobem budowania zaufania jest również posiadanie certyfikatu SSL. Potwierdza on, że profesjonalnie podchodzisz do swej internetowej działalności i że leży Ci na sercu bezpieczeństwo użytkowników Twojej strony. 
  • Pozwala zwiększyć przychody
    Zaufanie i wiarygodność bezpośrednio przekładają się na przychody z prowadzonej działalności. I nie mam tu na myśli wyłącznie oczywistego faktu, mówiącego o tym, że użytkownicy sieci chętniej kupują w wiarygodnych miejscach. Chcąc uruchomić na swojej stronie czy blogu sklep obsługujący płatności internetowe będziesz wręcz zmuszony do posiadania certyfikatu SSL. Jest on bowiem wymagany przez normę Payment Card Industry Data Security Standard, dotyczącą przetwarzania danych posiadaczy kart płatniczych. Chcesz zintegrować sklep z Facebookiem? Tutaj również bez certyfikatu ani rusz! Sam widzisz, że certyfikat SSL otwiera przed Tobą nowe możliwości.
  • Ułatwia spełnienie wymagań stawianych przez wiele podmiotów
    Prowadzenie jakiejkolwiek działalności w sieci wiąże się dziś z koniecznością dopełnienia wielu formalności i działania zgodnie z obowiązującymi przepisami prawa. Jak już wiesz certyfikat SSL pomaga spełnić wymagania stawiane przez instytucje płatnicze, ale nie tylko. Warto wspomnieć, że jego posiadanie jest również dobrze widziane w kontekście norm związanych z ochroną danych osobowych (RODO). Zobacz też jakie pozostałe wymagania RODO powinna spełnić strona WWW i hosting.
  • Chroni Twoich użytkowników przed phishingiem
    W dobie wielu ataków phishingowych, na jakie wszyscy jesteśmy dziś narażeni, certyfikat SSL stanowi dodatkową i niezwykle skuteczną warstwę ochrony. Jak wspominałem w części dotyczącej rodzajów certyfikatów – bez względu na rodzaj każdorazowo przeprowadzana jest weryfikacja własności witryny. Co to oznacza? Jeśli planujesz wykonać przelew i obawiasz się, że możesz omyłkowo zalogować się na stronie podszywającej się pod stronę Twojego banku, koniecznie sprawdź jej certyfikat. O ile literówkę w adresie łatwo przeoczyć, o tyle zweryfikowaną nazwę firmy, dla której wydano certyfikat już niekoniecznie. 
  • Pozwala uniknąć oznaczenia strony jako „Niezabezpieczona”
    Korzystasz z wyszukiwarki Chrome? Być może zauważyłeś, że wszystkie strony internetowe bez certyfikatów SSL są przez nią automatycznie klasyfikowane jako „Niezabezpieczone”. Jak wpływa to na wielu użytkowników sieci pewnie nie muszę Ci wyjaśniać.  

Mam nadzieję, że teraz jesteś już całkowicie przekonany i nie masz już najmniejszych wątpliwości co do zasadności posiadania certyfikatu SSL. Dodam jeszcze do tego, że cała procedura jego uzyskania oraz implementacja są niezwykle proste. Nie zabiorą Ci również dużo czasu – dokonasz tego w zaledwie kilka chwil (mam na myśli certyfikat klasy DV). Nie zwlekaj więc niepotrzebnie!

Czy dobry certyfikat SSL musi sporo kosztować?

No dobra, przejdźmy teraz do tego, co w wielu przypadkach w największym stopniu wpływa na nasze decyzje – koszty. Uzyskanie certyfikatu jest dość proste i nie zabiera zbyt wiele czasu, ale ile kosztuje? Ile przyjdzie nam zapłacić za certyfikat, który przyniesie nam korzyści, o których pisałem powyżej? 

Mylisz się, jeżeli uważasz, że czeka Cię spory wydatek. Oczywiście nie jest to scenariusz, który możemy z góry wykluczyć – jest bowiem wiele podmiotów, które sprzedają certyfikaty za niemałe pieniądze. Nie daj się jednak niepotrzebnie naciągnąć – podstawowy certyfikat SSL Domain Validation możesz mieć zupełnie za darmo! Nie ma zatem potrzeby, byś niepotrzebnie przepłacał. Gdzie możesz uzyskać darmowy certyfikat? Ze swojej strony mogę polecić projekt Let’s Encrypt, z którego sam korzystam i jestem naprawdę zadowolony.

Czym jest i jak działa Let’s Encrypt?

Let’s Encrypt to projekt zajmujący się wydawaniem darmowych i łatwych w użyciu certyfikatów szyfrowania TLS. Idea zrodziła się kilka lat temu, a 3 grudnia 2015 roku zadebiutowała w wersji beta. Oficjalny start projektu to jednak 12 kwietnia 2016 roku. Jak pewnie doskonale wiesz, Internet w tamtym czasie wyglądał nieco inaczej, a szyfrowanie nie było tak powszechne jak dziś – bardzo duża część ruchu internetowego odbywała się za pośrednictwem nieszyfrowanych protokołów HTTP, które dziś w dużej mierze zastąpione zostały już szyfrowanym protokołem HTTPS.

Przeszkodami, które utrudniały przejście z HTTP na HTTPS były oczywiście koszty, trudności związane z uzyskaniem certyfikatu oraz same jego wdrożenie. Projekt Let’s Encrypt za cel postawił sobie wyeliminowanie tych przeszkód. W efekcie stworzono w pełni zautomatyzowany i darmowy proces certyfikacji, który dodatkowo dostarcza narzędzi, by certyfikatem zarządzać.

Pomysł niewątpliwie bardzo śmiały i ambitny, aczkolwiek zakończony spektakularnym sukcesem. Pierwsze 100 milionów certyfikatów wystawiono już w czerwcu 2017 roku. Dużo? Końcem lutego 2020 licznik dobił do miliarda certyfikatów! Liczba ta powinna stanowić dla Ciebie wystarczającą gwarancję wiarygodności podmiotu.

Przy pomocy Let’s Encrypt możesz uzyskać jedynie certyfikat klasy DV, czyli ten najbardziej podstawowy. Dlaczego podmiot nie oferuje certyfikatów OV i EV? Powód jest bardzo prozaiczny. Cała procedura nadawania certyfikatu jest w przypadku Let’s Encrypt zautomatyzowana i przez to darmowa. Konieczność weryfikacji wnioskującego o certyfikat OV lub EV (sprawdzenia dostarczonych dokumentów) uniemożliwia przeprowadzenie całego procesu bez udziału ludzi.

Jeśli wystarczy Ci certyfikat klasy DV możesz go mieć zupełnie za darmo, gdyż Let’s Encrypt jest organizacją non profit. Utrzymuje się z datków, co oznacza, że za Twój certyfikat zapłacą tacy giganci jak chociażby: Mozilla, Chrome, Cisco, Facebook, Zendesk, GitHub, IBM, a także wielu innych anonimowych darczyńców.

Darmowe certyfikaty SSL oferowane przez hostingi

Decydując się na darmowy certyfikat SSL w Let’s Encrypt będziesz musiał w pierwszej kolejności wygenerować certyfikat, a następnie zainstalować go na serwerze. Konieczne będzie również jego odnawianie co 90 dni. Niby nic trudnego i przesadnie angażującego, ale wierz mi, że może być jeszcze łatwiej. Co mam na myśli? Wystarczy, że skorzystasz z usług hostingowych hostingu, który współpracuje z certyfikatami SSL Let’s Encrypt. W takiej sytuacji wygenerowanie i instalacja certyfikatu sprowadzają się do zaledwie jednego kliknięcia w panelu zarządzania hostingiem. Co więcej, hosting będzie troszczył się o to, by certyfikat był automatycznie przedłużany. Prawda, że wygodnie?

Jak certyfikat SSL działa w praktyce?

Posiadasz już niezbędną wiedzą na temat certyfikatów SSL i wiesz tym samym, że najprawdopodobniej w zupełności wystarczy Ci podstawowy certyfikat. Jeśli tak właśnie jest szczerze zachęcam Cię do skorzystania z oferty Let’s Encrypt. Przez całą procedurę wydania certyfikatu przejdziesz gładko i naprawdę szybko – w jego przypadku konieczne jest tylko zweryfikowanie własności domeny, co nie powinno potrwać dłużej niż 1 godzinę.

Jeśli potrzebujesz certyfikatu klasy OV lub EV musisz uzbroić się w cierpliwość – procedura trwa zwykle od kilku godzin do kilka dni roboczych, co związane jest ze znacznie szerzej zakrojoną weryfikacją wnioskującego. Po wydaniu certyfikatu – niezależnie od rodzaju – konieczne będzie jego wdrożenie. Ważna sprawa – pamiętaj by sprawdzić, czy został on prawidłowo wdrożony na wszystkich podstronach. Taki głupi błąd (choćby jedna podstrona bez HTTPS)  może sprawić, że Twoja strona zostanie potraktowana jako niezabezpieczona.

Jak w praktyce działa certyfikat? Jego działanie obejmuje dwa obszary:

  • szyfrowanie –skuteczne utrudnianie możliwości odczytania przesyłanych danych,
  • uwierzytelnianie – weryfikacja stron komunikacji (posiadaczy certyfikatów, a w przypadku certyfikatów OV i EV również ich tożsamości).

Schemat działania mogę przedstawić w zaledwie 4 krótkich punktach: 

  1. Proces rozpoczyna weryfikacja tożsamości użytkownika – w tym celu przeglądarka wysyła stosowną prośbę do serwera.
  2. W odpowiedzi serwer wysyła do przeglądarki kopię protokołu SSL.
  3. Na tym etapie przeglądarka weryfikuje certyfikat (jego źródło i datę ważności), po czym wysyła informację zwrotną do serwera.
  4. Serwer wysyła potwierdzenie, które jest niezbędne do rozpoczęcia szyfrowanej sesji. Od tego momentu dane między stroną a serwerem wymieniane są w całkowicie bezpieczny sposób.

Prędzej czy później przejście z HTTP na HTTPS stanie się koniecznością. Już dziś uważane jest za pewien standard. Nie wahaj się zatem przesadnie, tylko już dziś podejmij odpowiednie kroki. Zadbaj o wiarygodność swojej witryny i zapewnij swoim użytkownikom wymagany poziom bezpieczeństwa. 

Autorem tekstu jest Mateusz Mazurek. Przedsiębiorca internetowy i autor blogów, prowadzący ranking najlepszych hostingów dla stron WWW i edukujący z zakresu technologii internetowych.