Co to jest certyfikat SSL i jak go wdrożyć?
Mówiąc o certyfikacie SSL mamy przed oczami zieloną kłódkę na pasku przeglądarki przy domenie. Ale jak to wygląda od strony technicznej? Certyfikat SSL (Secure Sockets Layer) to inaczej protokół sieciowy do zabezpieczenia transferu danych między przeglądarką użytkownika a odwiedzaną witryną. Został opracowany już w 1999 roku i jest uznawany za standard szyfrowania na stronach www. Dlaczego jest to tak ważne?
Obecnie większość stron internetowych zbiera od nas informacje. Wystarczy wypełnić formularz kontaktowy, zalogować się lub zrobić zakupy online, by zostawić szereg danych. Wchodząc na daną witrynę przekazujemy informacje, często nawet bardzo wrażliwe, takie jak: numer karty płatniczej, czy hasło logowania. Wdrożenie SSL daje gwarancje, że dane te nie zostaną przechwycone przez osoby trzecie. Szyfrowanie odbywa się przeważnie poprzez protokół https. Certyfikat SSL jest obecnie jednym z czynników rankingowych Google, dlatego tym bardziej warto o niego zadbać na swojej witrynie.
Certyfikat SSL - jak działa?
Bezpieczeństwo związane z protokołem SSL opiera się o dwa główne filary:
- szyfrowanie - blokuje możliwość przejęcia przesyłanych danych,
- uwierzytelnianie - potwierdza tożsamość obu stron komunikacji.
Standardowy proces transmisji danych oparty o https przebiega w 5 krokach:
- Potwierdzenie tożsamości użytkownika - przeglądarka wysyła prośbę do serwera.
- Kopia protokołu SSL z serwera trafia do przeglądarki.
- Przeglądarka weryfikuje źródło oraz ważność certyfikatu, a następnie wysyła informacje do serwera.
- Przez serwer wysyłane jest potwierdzenie, które umożliwia rozpoczęcie szyfrowanej sesji.
- Pomiędzy przeglądarką a serwerem przesyłane są zabezpieczone informacje.
Protokół SSL składa się z:
- klucza prywatnego - instalowany jest bezpośrednio na serwerze,
- klucza publicznego - instalowany jest na Twojej stronie internetowej. Pozwala na szyfrowanie poufnych danych użytkowników (numeru karty płatniczej, danych do logowania itp.).
Rodzaje certyfikatów SSL
W zależności od potrzeb możemy wybierać spośród certyfikatów o różnym poziomie szyfrowania i zaufania. Wyróżniamy:
1. Certyfikat DV (Domain Validation)
Jest to najprostszy i najszybciej wystawiany certyfikat. Dedykowany mniejszym stronom www. Aby być posiadaczem certyfikatu DV potrzebujesz:
- domeny zarejestrowanej na danych firmowych, dostępnych w bazie WHOIS,
- aktywnej poczty e-mail, powiązanej z adresem www ([email protected].), na którą zostanie wysłany link weryfikujący.
Strony z certyfikatem DV nie dostarczają żadnych informacji na temat właściciela certyfikatu.
2. Certyfikaty OV (Organization Validated)
Wydawane dopiero po dokładnej kontroli firmy. W tym przypadku musisz nie tylko udowodnić, że jesteś właścicielem domeny. Potrzebne są także dokumenty rejestrowe firmy i skan dowodu osobistego. Te dane pozwolą potwierdzić wiarygodność firmy i właściciela certyfikatu.
3. Certyfikaty EV (Extended Validation)
Wydawane dopiero po spełnieniu bardzo surowych kryteriów. Ten certyfikat wyróżniony jest w przeglądarce dodatkowym polem, na którym obok kłódki wyświetla się pełna nazwa firmy. Aby uzyskać certyfikat EV trzeba udowodnić, że jest się właścicielem domeny, dostarczyć komplet dokumentów, a także skontaktować się z organizacją weryfikującą autentyczność tychże dokumentów.
Wygląd w Chrome
Wygląd w Opera
Certyfikaty DV dostępne są u darmowych dostawców. Jeśli natomiast myślimy o certyfikatach OV i EV trzeba skorzystać z płatnych opcji.
Ile kosztuje certyfikat SSL?
Na rynku znajdziemy zarówno dostawców oferujących płatne certyfikaty SSL, jak i bezpłatne. Opcje płatne przeważnie rozliczane są w formie stałego (miesięcznego lub rocznego) abonamentu. Certyfikat wystawiany jest przez upoważnione do tego Urzędy Certyfikacji. CA Security Council (CASC) to organizacja, która upoważnia różnych dostawców do dystrybucji certyfikatów SSL.
Ci najbardziej znani to:
- Domain (https://www.domain.com/ssl-certificate),
- Comodo (https://www.comodo.com/),
- Digicert (https://www.digicert.com),
- GlobalSign (https://www.globalsign.com/en/).
Koszt płatnych certyfikatów SSL waha się w granicach 35 - 200 dolarów rocznie.
Wśród bezpłatnych dostawców certyfikatów SSL najpopularniejsze to Let’s Encrypt (https://letsencrypt.org/) i Cloudflare (https://www.cloudflare.com). Jeśli posiadamy serwer VPS lub inny serwer dedykowany, możemy samodzielnie zainstalować taki certyfikat. Darmowe rozwiązania sprawdzą się w większości stron internetowych. Trzeba jednak pamiętać, że co kilka miesięcy wymagają one odnowienia.
Płatne certyfikaty powinni rozważyć przede wszystkim właściciele witryn, w których zbierane są dane od użytkowników, a także strony narażone na ataki hakerów (banki, instytucje itp.).
Każdy certyfikat ma ograniczony okres ważności. Zwykle jest to jeden rok. Koniec okresu ważności możemy sprawdzić klikając na kłódkę przy adresie URL na następnie na pole Certyfikat.
Jak skonfigurować https na Wordpress?
Po uruchomieniu bezpłatnego certyfikatu SSL na WordPress, koniecznie sprawdź czy wszystkie podstrony zamiast http mają wdrożony https. Pomocna będzie wtyczka Really Simple SSL (https://really-simple-ssl.com), która po aktywizacji sprawdzi, gdzie na Twojej stronie jest włączony protokół SSL. Następnie automatycznie uruchomi przekierowania z http na https.
Pod kątem wyszukiwarek internetowych jest to bardzo istotne. Wystarczy, że jedna podstrona nie ma wdrożonego https, aby cała witryna została potraktowana jako niezabezpieczona.
Poniżej znajdziesz listę najlepszych firm hostingowych Wordpress, oferujących darmowy certyfikat SSL:
- Dreamhost,
- Bluehost,
- GreenGeeks,
- Hosting InMotion,
- Liquid Web,
- SiteGround,
- HostGator,
- iPage,
- WPEngine.
Wdrożenie HTTPS a SEO. O tym pamiętaj!
Aby cały proces wdrożenia przebiegł pomyślnie i nie powodował opóźnień związanych z indeksacją strony w Google, warto sprawdzić czy protokół HTTPS jest użyty w:
- linkach zewnętrznych,
- linkach wewnętrznych,
- linkach przychodzących (social media, katalogi),
- mapie strony,
- przekierowaniach 301,
- adresie back-endu.
Jeśli nie masz pewności, czy wszędzie udało Ci się wdrożyć https, za pomocą narzędzia SSL Server Test (https://www.ssllabs.com/ssltest/) sprawdzisz, gdzie jeszcze na stronie potrzebna jest aktualizacja.
Pamiętaj, że poprawne wdrożenie HTTPS w witrynie to szansa na zwiększenie widoczności strony w Google!
Dlaczego warto posiadać certyfikat SSL na swojej stronie?
Przeglądarki internetowe ostrzegają użytkowników przed stronami niezabezpieczonymi. Połączenia z witrynami bez SSL oznaczone są jako niebezpieczne (przykład poniżej). Taki komunikat z pewnością odstrasza użytkowników, budzi niepewność i brak zaufania do strony.
Poza tym, od 2014 roku Google traktuje SSL jako czynnik rankingowy. Sama przeglądarka Chrome posiada protokół SSL od 2011 roku!
Przeglądarki rozróżniają dwa rodzaje niebezpieczeństwa na witrynie:
- strona niezabezpieczona,
- strona niebezpieczna.
Komunikat dotyczące strony niebezpiecznej
Wygląd w Chrome
Wygląd w Firefox
Podsumowanie
Przejście z http na https jest nieuniknione. Obecnie już większość stron ma wdrożony certyfikat SSL, aby zagwarantować swoim użytkownikom bezpieczeństwo i poufność. Jeśli na naszej stronie przeprowadzane są transakcje pieniężne, SSL jest wręcz wymogiem koniecznym. To, na jaki rodzaj certyfikatu się zdecydujemy zależy już wyłącznie od przeznaczenia witryny i wysokości budżetu.
Pamiętaj, że bezpieczeństwo to nie jedyna zaleta certyfikatu. Wdrażając https zwiększamy swoje szanse na wyższe pozycje w wyszukiwarce. Jako agencja SEO zalecamy, jak najszybsze przejście z protokołu http na https, który jest jednym z podstawowych elementów optymalizacji strony pod pozycjonowanie.