10 powodów, dla których powinieneś mieć certyfikat SSL

Certyfikat SSL to gwarancja bezpieczeństwa w Internecie. Jest to szczególnie ważne teraz – w dobie wykonywania większości transakcji przez Internet, bookowania biletów i zostawiania kluczowych danych osobowych w licznych serwisach. Wiele firm już wdrożyło ten certyfikat, dając tym samym jasny sygnał swoim klientom, że ich dane są w pełni chronione i bezpieczne.  Jedno jest pewne: certyfikat SSL warto mieć, a oto 10 faktów o tym rozwiązaniu, które Ci to udowodnią.

Co oznacza skrót SSL? Jest to skrót od angielskich słów Secure Socket Layer i ma już wieloletnia tradycję. Został wymyślony w 1994 roku przez firmę Netscape. Służy on do transmisji zaszyfrowanych danych pomiędzy komputerem użytkownika a serwerem. Bardzo szybko stał się niezwykle popularnym rozwiązaniem. Dlaczego? Odpowiedź tkwi nie tylko w gwarancji bezpieczeństwa, ale również w prostocie działania i instalacji.

SSL jest wybierany przez wiele firm i instytucji, dla których bezpieczeństwo danych ich klientów jest sprawą priorytetową.

[Tweet „Certyfikat SSL daje jasny sygnał klientom, że ich dane są w pełni chronione i bezpieczne.”]

Pomimo takiej popularności SSL, wiele osób nadal nie ma świadomości, czym jest dokładnie ten certyfikat i dla kogo jest przeznaczony. Nie jesteś pewien, czy, kiedy i jak zainstalować certyfikat SSL na swojej stronie? A może nie jesteś przekonany do korzyści, jakie płyną z wdrożenia? W tym artykule wyjaśnimy Ci wszelkie kwestie związane z certyfikatami SSL.

Co daje certyfikat SSL?

SSL ma jeden główny cel – gwarantuje bezpieczeństwo danych w trakcie ich przesyłania, wykorzystując do tego szyfrowanie kluczem AES. Dane przesyłane z użyciem protokołu HTTPS są zabezpieczone protokołem TLS (Transport Layer Security), który zapewnia trójstopniową ochronę poprzez:

1. Zaszyfrowanie wymienianych danych. Są one w pełni poufne i zabezpieczone.
2. Integralność danych. Dane nie mogą być zmieniane w czasie transferu przez osoby trzecie albo taka zmiana zostaje automatycznie wykryta.
3. Użytkownicy mają pewność, że przeglądają wybraną przez siebie stronę, a nie są przekierowani na do innej, fałszywej, ale łudząco podobnej witryny.

Jak sprawdzić, czy dana strona posiada certyfikat SSL? Dla odwiedzającego stronę informacja o posiadaniu przez nią certyfikatu SSL, a zatem potwierdzenie jej bezpieczeństwa, jest widoczne w adresie strony: https://przykładowastrona.com.pl  (‘https’  w przeciwieństwie do ‘http’ ,używa protokołu SSL).  W zależności od firmy oferującej certyfikaty zabezpieczające, dodatkowo może się pojawić ikonka kłódki, zielone pole adresowe lub inny znak.

3 rodzaje certyfikatów SSL

Zastanawiasz się, który certyfikat SSL wybrać? Biorąc pod uwagę typ sprawdzania i poprawność certyfikatów SSL, można je podzielić na 3 grupy:

1. Certyfikaty klasy DV (Domain Validation) – uwierzytelnienie podstawowe – szyfrują transmisję informacji w certyfikowanej domenie. Podczas wydawania certyfikatu sprawdza się, czy firma (osoba) wnioskująca ma prawo do posługiwania się domeną, ale nie weryfikuje się jej danych.

2. Certyfikaty klasy OV (Organization Validation) – uwierzytelnienie rozszerzone – szyfrują transmisję informacji w certyfikowanej domenie, zabezpieczają przez pishingiem, czy podsłuchiwaniem transmisji. Podczas wydawania certyfikatu weryfikuje się, czy firma (osoba) wnioskująca ma prawo do posługiwania się domeną, a także sprawdza dodatkowo samą firmę.  Niezbędne jest dostarczenie np.: wyciągu z KRS, czy umowy spółki. Nazwa firmy będzie widoczna w szczegółach wystawionego certyfikatu SSL. By wyświetlić nazwę firmy, należy kliknąć na pieczęć bezpieczeństwa np.: ikonę kłódki.

3. Certyfikaty klasy EV (Extended Validation) – pełne uwierzytelnienie. Klasa EV oznacza najsilniejszą weryfikację tożsamości firmy zamawiającej certyfikat SSL. Przed wydaniem certyfikatu jest sprawdzany organ wnioskujący: status prawny, fizyczna obecność, rzeczywiste prowadzenie działalności, zgodność z danymi urzędowymi, prawo do posługiwania się domeną. W przeglądarkach, a dokładniej w pasku adresu, widoczne jest dodatkowe oznaczenie takiego certyfikatu SSL zielonym kolorem. Podobnie jak w przypadku certyfikatów OV, w szczegółowych informacjach o certyfikacie SSL wyświetlane są dane firmy wnioskującej o jego wydanie.

Ten rodzaj certyfikatu wprowadziliśmy niedawno na SprawnyMarketing.pl, zobaczcie, jak to wygląda:

Certyfikat klasy EV jest dostępny w LH.pl w najlepszej cenie na rynku – 499 zł. Sprawdź

Certyfikat SSL – czy warto?

Zanim dowiesz się, jakie korzyści niesie za sobą wdrożenie SSL, sprawdź, czy powinieneś zainteresować się tym rozwiązaniem. Tutaj zasada jest prosta: certyfikat powinien być wdrożony na wszystkich serwisach, w których w jakikolwiek sposób wykorzystuje się lub przetwarza szeroko pojęte dane osobowe odwiedzającego

Jak wspomniano, SSL zabezpiecza wszelkie informacje, które przepływają między komputerem osoby odwiedzającej, a serwerem i bazą danych strony. Masz na swojej stronie formularz, w którym zbierasz dane, oferujesz rejestrację konta, a do Twojego serwisu trzeba się zalogować? Prowadzisz sklep internetowy i tym samym Twój serwis obsługuje płatności? Certyfikat SSL jest Ci niezbędny!

[Tweet „Strony przetwarzające dane osobowe powinny mieć wdrożony certyfikat SSL”]

Oto  konkretne rodzaje stron, które powinny być wyposażone w certyfikat SSL:

• sklepy internetowe, serwisy aukcyjne i inne podobne, które umożliwiają dokonanie płatności przez Internet,
• banki,
• strony medyczne, oferujące umawianie wizyt i internetową kartę pacjenta,
• serwisy szkolne / uniwersyteckie, oferujące wirtualny dziennik lub indeks, a także pozwalające zarządzać planem zajęć,
• strony urzędowe i administracji publicznej, pozwalające użytkownikom np. na nadsyłanie i wypełnianie dokumentów, wniosków, deklaracji,
• aplikacje internetowe do obsługi poczty e-mail,
• strony oferujące użytkownikom posiadanie swoich profili i kont (przechowujemy wtedy prywatne dane użytkowników – imiona, nazwiska, adresy e-mail).

10 faktów, które przekonają Cię do SSL

Wiesz już, dla kogo SSL jest przeznaczony, ale nadal nie jesteś przekonany do konieczności posiadania takiego certyfikatu? Zapoznaj się z poniższą listą. Zebraliśmy 10 najważniejszych powodów, dla których warto wykupić certyfikat SSL dla swojej strony i go z powodzeniem wdrożyć.

1. Wpływa pozytywnie na SEO (pozycjonowanie)

Powinieneś zainteresować się również certyfikatem SSL ze względu na SEO. Dlaczego? Najprostsza odpowiedź brzmi – bo Google tak mówi. A komplikując nieco tę kwestię:

[Tweet „Dla Google’a HTTPS to jeden z wielu czynników rankingujących.”]

Jest to reakcja tej firmy na aferę Edwarda Snowdena, czyli na ogromny wyciek dokumentów, szczegółowo opisujących inwigilację rządów.

Pamiętaj jednak, że SSL warto mieć, nie sprawi on jednak, że Twoja strona w rankingu poszybuje nagle na pierwsze miejsce. Ale jeśli  Twoja strona konkuruje z inną o ważne (mocno konkurencyjne) słowa kluczowe, posiadając certyfikat SSL (przy założeniu, że ta druga strona go nie ma) masz szansę zdobyć lepszą pozycję i wyprzedzić konkurencję.

Oto wykres, który pokazuje korelację między HTTPS a wyższą pozycją na pierwszej stronie wyszukiwarki Google’a:

Skoro HTTPS ma wpływ na pozycję, to dlaczego największe strony internetowe nie robią tego dobrze?

Ahrefs niedawno przeanalizował 10 000 najpopularniejszych domen – wszystko po to, by odpowiedzieć na pytanie: Jak największe strony internetowe używają protokołu HTTPS, by poprawić  swoje wyniki w SERP?

Badanie pokazało, że:

1. Tylko 1 na 10 stron ma bezbłędnie wdrożony certyfikat SSL.
2. 60% badanych stron w ogóle nie miało protokołu HTTPS (a jeśli weźmiemy pod uwagę strony z błędami w konfiguracji SSL, liczba ta osiągnie 65%).
3. Co najmniej 1 na 4 domeny nie miała kanonicznego adresu HTTPS.
4. Co najmniej 1 na 4 domeny używała przekierowania 302, które powinno być używane tymczasowo, zamiast odpowiedniejszego przekierowania 301.

2. Certyfikaty SSL są niezawodne

Bardzo ważną kwestią jest to, że certyfikaty są niezawodne – o ile możesz zabezpieczyć swoją stronę na różne sposoby, o tyle zawsze istnieje ryzyko, że jednak uda się atakującemu złamać zabezpieczenie. W przypadku SSL możesz jednak spać spokojnie – ochrona przez SSL opartym na protokole TLS 1.2 nie została do tej pory w żaden sposób złamana.

Jak wspomniano, posiadając stronę przetwarzającą dane osobowe lub płatności, warto zapewnić swoim klientom odpowiedni poziom bezpieczeństwa. Mając SSL na stronie, możesz być pewien, że przesyłane dane od klienta (przeglądarka internetowa) do serwera (Twojej strony) są w pełni zaszyfrowane 256-bitowym kluczem AES. Co to oznacza? Tyle, że nawet jeżeli komuś udałoby się przechwycić ruch na Twojej stronie, to i tak nie uda mu się odczytać żadnych danych osobowych, numerów kont czy kart kredytowych, gdyż wszystko jest zaszyfrowane algorytmem nie do złamania.

3. Wiarygodność i integralność danych

Certyfikat SSL stanowi gwarancję wiarygodności danej strony – jeśli użytkownik przesyła swoje dane za pomocą strony, która wyposażona jest w certyfikat SSL, to może mieć pewność, że trafią one do właściwego odbiorcy.

Przesyłane dane z przeglądarki (lub do przeglądarki) nie mogą zostać w żaden sposób zmodyfikowane przez osoby trzecie. Dla przykładu: jednym z ataków jest tzw. „Man in the middle”. Polega to na tym, że osoba trzecia przechwytuje dane wysyłane z przeglądarki do serwera (lub odbierane przez przeglądarkę) i odpowiednio je modyfikuje dla własnych celów. SSL zabezpiecza przed takim działaniem, gdyż dane są – jak wspomnieliśmy – szyfrowane i nie ma możliwości ich modyfikowania.

4. Dodatkowa ochrona przed phishingiem

Phishing to specjalna metoda wykradania danych od użytkowników – polega ona na oszukaniu użytkownika poprzez „podstawienie” mu sfałszowanej strony internetowej, łudząco podobnej do tej, na której np. loguje się on codziennie do banku. Ofiara po wejściu na taką stronę nie dostrzega różnicy, jednak w rzeczywistości jest to strona umieszczona pod inną domeną, która wcale nie kieruje do banku – zamiast tego odczytuje wpisany login i hasło, a następnie wysyła te dane do atakującego.

Osoba atakująca nie uzyska jednak jednej rzeczy – certyfikatu SSL, który potwierdzałby autentyczność swojej strony. Z kolei jeśli wyposażysz swoja stronę w certyfikat SSL, to potwierdzisz w ten sposób jej autentyczność i dasz użytkownikowi jasny znak, że strona, na której się loguje, jest prawdziwa i bezpieczna – widoczna będzie bowiem ikona zielonej kłódki obok paska adresu, świadcząca o potwierdzonym certyfikacie strony.

5. Większe zaufanie do strony

Gdy klient wejdzie na Twoją stronę, to od razu zauważy, że używasz SSL– przeglądarka poinformuje go o tym za pomocą ikony zielonej kłódki na pasku adresu. To zawsze dobry sposób, aby zwiększyć prestiż własnej strony i dać do zrozumienia, że jesteś profesjonalistą.

To ważne także w celu zbudowania zaufania wśród potencjalnych klientów. Jest to niezwykle istotne w sklepach internetowych – jeżeli użytkownik ma zamiar coś kupić i zapłacić np. kartą kredytową, to ikona zielonej kłódki daje mu poczucie bezpieczeństwa. Wie on, że dbasz o jego dane i chronisz go przed wykradaniem np. dostępu do banku.

Ponadto, nawet jeśli ktoś nie zwróci uwagi na ikonę zielonej kłódki, to nie jest to jedyny sposób, aby użytkownik wiedział, czy loguje się lub przesyła dane za pomocą bezpiecznej strony. Serwisy zabezpieczone przez SSL mają zmieniony adres URL – zamiast np. “” pojawia się adres “”. Przedrostek HTTPS jest powszechnie znany jako taki, który wskazuje bezpieczne połączenie ze stroną.

Warto też dodać, że większe zaufanie do strony zmniejsza współczynnik odrzuceń. Współczynnik odrzuceń (ang. bounce rate) to odsetek wizyt na stronie, podczas których użytkownik nie wszedł w żadną interakcję ze stroną. Na przykład: ktoś mógł trafić na konkretną stronę produktu w Twoim sklepie internetowym bezpośrednio z wyszukiwarki Google, jednak po zobaczeniu strony nie zdecydował się ani na zakup, ani nawet na przejście do innego produktu, artykułu czy innej podstrony. Istnieje jednak powiązanie między zabezpieczeniami SSL a współczynnikiem odrzuceń – okazuje się, że odwiedzający, który zostanie przywitany ikoną zielonej kłódki na pasku adresu, jest bardziej skory do tego, aby zostać dłużej na stronie i przejść do innych podstron. Zmniejsza się w ten sposób współczynnik odrzuceń, co z kolei – idąc dalej tym tropem – wpływa pozytywnie na pozycję strony w Google.

6. Strona z certyfikatem SSL – światowy standard zabezpieczeń

Twoja strona po podpięciu certyfikatu SSL będzie oferować zabezpieczenia na światowym poziomie i trzymać odpowiedni standard bezpieczeństwa. Nikt nie chce zostawać w tyle – SSL to przyszłość, a wielu uważa, że wyposażona w niego powinna być każda strona,na której użytkownicy pozostawiają swoje dane. Logowanie bez SSL jest po prostu niebezpieczne.

Certyfikaty SSL to także najlepsze obecnie systemy zabezpieczeń. Oznacza to, że przesyłane dane są całkowicie zaszyfrowane, niewidoczne i nawet rządy nie są w stanie ich złamać i odczytać tego, co jest w ten sposób przesyłane. Stanowi to świetną ochronę prywatności w trakcie wykonywania różnego rodzaju transakcji czy przesyłania ściśle tajnych informacji.

7. Sposób na większe obroty w sklepie internetowym

Jeżeli prowadzisz sklep internetowy i chcesz obsługiwać płatności kartą kredytową, to SSL będzie Ci z pewnością potrzebny. Oprócz tego, że – jak zostało wyżej wspomniane – oferuje on bezpieczeństwo danych i daje gwarancje wiarygodności Twojego serwisu, to certyfikat SSL jest jednym z wymagań stawianym przez normę wydajności Payment Card Industry Data Security Standard. Powstała ona po to, aby zapewnić wysoki poziom standardów bezpieczeństwa w sytuacjach, gdy przetwarzane są dane posiadaczy kart kredytowych. Posiadanie certyfikatu SSL umożliwi wykorzystywanie różnych metod płatności opartych na kartach kredytowych.

Ponadto użytkownicy będą chętniej dokonywać zakupów w Twoim sklepie, jeśli zobaczą, że strona jest chroniona przez SSL. Zagwarantuje to im nie tylko bezpieczeństwo płatności, ale także zwiększy poczucie prywatności i ochrony ich danych osobowych. SSL ma duży wpływ na konwersję, co jest potwierdzone badaniami na ten temat (TUTAJ). Jako przykład można podać jeden z hoteli, który zauważył o 30% zwiększoną ilość rezerwacji pokoi przez Internet po wdrożeniu certyfikatu SSL i wprowadzeniu ikony zielonej kłódki.

8. SSL jest wymagany do integracji sklepu z Facebookiem

Facebook jest świetnym sposobem na docieranie do nowych klientów. Jeśli prowadzisz tam profil firmowy, to istnieje możliwość zintegrowania w niej funkcji Sklepu, tak, aby użytkownicy mogli dokonywać zakupów bezpośrednio w portalu społecznościowym. Sklep na Facebooku może być w pełni zintegrowany z Twoim normalnym sklepem, mogą się w nim aktualizować np. stany magazynowe podczas dokonywania zakupów. Jest jednak jeden warunek: jeśli chcesz uruchomić sklep na Facebooku i zintegrować go ze swoim sklepem, to musisz posiadać certyfikat SSL.

9. SSL podlega rekomendacji ochrony strony przez GIODO

Co prawda GIODO nie wymaga od administratorów posiadania certyfikatów SSL na stronach (wbrew powszechnej opinii, która jest dostępna w wielu serwisach), niemniej jednak w załączniku nr 1 do “Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych” pojawia się wymóg stosowania zabezpieczenia kryptograficznego. Potraktujmy to zatem jako rekomendację GIODO w tym zakresie.

10. Tani (lub darmowy) i prosty do wdrożenia

Warto także wspomnieć, że koszt wystawienia certyfikatu SSL jest tani albo darmowy. Implementacja SSL na stronie również jest bezproblemowa, więc jeśli prowadzisz sklep internetowy, to warto zainwestować tę niewielką kwotę.

Jeśli już mowa o samym wystawieniu certyfikatu SSL, to tu również warto zaznaczyć, że nie ma tylko jednego, wymuszonego modelu. Różne firmy oferują różne certyfikaty SSL – takie, które przeznaczone są dla mniej lub bardziej wymagających użytkowników. Niektóre certyfikaty mogą działać np. tylko w obrębie jednej domeny (i są dzięki temu tańsze), a inne (droższe) mogą z kolei obejmować Twoje subdomeny. Ofertę można dopasować do profilu strony i zasobności portfela, co należy zaliczyć jako bardzo duży plus.

A jak zainstalować certyfikat SSL?

Jako użytkownik nie musisz nic robić. Możesz poprosić swojego administratora hostingu o zainstalowanie certyfikatu. W niektórych firmach instalacja odbywa się automatycznie po zamówieniu i opłaceniu usługi. Jeżeli jesteś bardziej zaawansowanym użytkownikiem i posiadasz dostęp do Direct Admina to, możesz samodzielnie zainstalować certyfikat, wklejając wygenerowany klucz.

Na rynku istnieją darmowe rozwiązania takie jak StartSSL lub Let’s Encrypt, niemniej obarczone są one pewnymi niedogodnościami. Wymagają specjalnej konfiguracji serwera, co w przypadku hostingów współdzielonych może nie być możliwe u wielu hostingodawców. Let’s Encrypt należy dodatkowo odnawiać po 90 dniach, a StartSLL wymaga otwarcia nowego konta w systemie dla każdorazowego odnowienia certyfikatu. Dlatego też, wychodząc na przeciw potrzebom użytkowników i chcąc wpłynąć na bezpieczeństwo w sieci, certyfikat veri SSL w LH.pl można otrzymać za darmo na pierwszy rok i jego odnowienie nie jest obligatoryjne.

Tekst powstał przy współpracy reklamowej z firmą LH.pl

Aktualizacja 19.12.2016

Kolejnym argumentem za użyciem SSLa jest informacja udostępniona przez Matta Mullenwega na oficjalnym blogu WordPressa. Od 2017 wydawca WordPressa zacznie sprawdzać, które z funkcjonalności CMSa zyskają najbardziej na wprowadzeniu SSLa, tj. autoryzacja poprzez API. Funkcje te zyskają z czasem niejako status premium i będą dostępne tylko dla stron zabezpieczonych certyfikatem.

Niestety komunikat był dość enigmatyczny. Na pewno strony na WordPressie nie znikną z dnia na dzień z Internetu, jednak można śmiało domniemywać, że wydawca będzie z miesiąca na miesiąc kładł coraz większy nacisk na zabezpieczenie stron certyfikatem SSL. Więcej możesz przeczytać tu: https://blog.lh.pl/wordpress-zacznie-wymagac-ssl-w-2017/.

Aktualizacja 9.01.2017