Posiadanie certyfikatu SSL jest potwierdzonym przez Google czynnikiem rankingowym. Dzięki niemu korzystanie ze stron jest bezpieczniejsze. W tym artykule wyjaśniam, czym dokładnie jest SSL, jak działa, jakie są jego rodzaje i czy warto inwestować w płatny certyfikat SSL.
Certyfikat SSL – co to?
Certyfikat SSL (z ang. Secure Socket Layer) jest protokołem sieciowym, który odpowiada za szyfrowanie danych przesyłanych między stroną a przeglądarką użytkownika. Jest to ogólnie przyjęty standard szyfrowania danych w internecie. Strony, które mają prawidłowo wdrożony certyfikat SSL wyświetlają się pod adresem z przedrostkiem HTTPS. Mają także charakterystyczną kłódeczkę przed adresem.
Certyfikat SSL został zaprojektowany i opracowany przez firmę Netscape. Jako ciekawostkę można wspomnieć, że już podczas jednej z pierwszych prezentacji sposobu jego działania został on złamany. Błędy zabezpieczeń poprawiono w jego kolejnej wersji – SSL v2. Obecnie używaną wersją tego protokołu jest wersja SSL v3, w której dodano niektóre rozwiązania z innego standardu szyfrowania danych o nazwie PCT (ang. Private Communication Technology), opracowanego przez firmę Microsoft.
Certyfikat SSL jest potwierdzonym czynnikiem rankingowym wyszukiwarki Google, dlatego warto zadbać nie tylko o to, by go posiadać, ale również o to, by był prawidłowo wdrożony.
Jak działa certyfikat SSL?
Certyfikat SSL odpowiada za szyfrowanie danych oraz uwierzytelnianie.
Szyfrowanie oparte jest na kluczach. Klucze to ciągi znaków alfanumerycznych, za pomocą których odbywa się szyfrowanie i deszyfrowanie danych. W skład certyfikatu SSL wchodzą dwa klucze – prywatny oraz publiczny. Klucz prywatny instaluje się bezpośrednio na serwerze, natomiast publiczny na stronie internetowej.
Poza szyfrowaniem danych, certyfikat SSL odpowiada również za uwierzytelnianie, które polega na potwierdzeniu tożsamości obu stron komunikacji, czyli zarówno przeglądarki, jak i strony, którą ma być wyświetlona.
Rodzaje certyfikatów SSL
Certyfikaty SSL występują w kilku wersjach i różnią się w zależności od rodzaju i stopnia szyfrowania. Wyróżniamy 3 rodzaje certyfikatów SSL:
- Certyfikat DV (Domain Validation) – jest to najprostszy z certyfikatów. Jest on anonimowy i zapewnia tylko szyfrowanie. Nie potwierdza tożsamości właściciela certyfikatu. Przykładem takiego certyfikatu jest darmowy certyfikat Let’s Encrypt.
- Certyfikaty OV (Organization Validation) – ten certyfikat wydawany jest po sprawdzeniu tożsamości właściciela. Oprócz nazwy domeny zawiera również informacje o firmie oraz jej lokalizację.
- Certyfikaty EV (Extended Validation) – jest to najbardziej zaawansowany certyfikat, który otrzymuje się po spełnieniu odpowiednich kryteriów – należy nie tylko udowodnić, że jest się właścicielem domeny, ale również dostarczyć komplet dokumentów oraz skontaktować się z organizacją weryfikującą autentyczność tych dokumentów.
Certyfikaty OV i EV posiadają również wariant multidomain, który umożliwia ochronę kilku domen. Jeśli posiada się kilka domen, jest to tańsze rozwiązanie niż kupno kilku osobnych certyfikatów dla każdej domeny.
Darmowy czy płatny certyfikat SSL?
Certyfikaty występują w wersji płatnej i bezpłatnej. Czym się one od siebie różnią i jaką dają gwarancję?
Bezpłatne certyfikaty SSL
Do bezpłatnych certyfikatów SSL można zaliczyć takie certyfikaty jak Let’s Encrypt czy Cloudflare. Obecnie wiele hostingów proponuje swoim użytkownikom taki certyfikat SSL. Jego instalacja zazwyczaj nie jest skomplikowana i nie wymaga specjalistycznej wiedzy. Ma on również tą zaletę, że na wielu hostingach, sam się odnawia.
Jeśli hosting nie oferuje takiego certyfikatu, to można go wygenerować samodzielnie i ustawić dla domeny, jednak wymaga to już szerszej wiedzy.
Płatne certyfikaty SSL
Podstawową różnicą między darmowym certyfikatem SSL, a płatnym jest to, że płatny certyfikat daje gwarancję finansową. Wysokość gwarancji zależy już od samego certyfikatu i waha się w granicach 5 000 – 1 500 000 dolarów. Jest ona wypłacana w momencie, gdy ktoś złamie klucz szyfrujący certyfikatu.
Czy warto inwestować w płatny certyfikat SSL?
Odpowiedź na to pytanie nie jest jednoznaczna i zależy od kilku czynników. Darmowe certyfikaty, w przeciwieństwie do płatnych, nie dają żadnej gwarancji, jednak w wielu wypadkach są w zupełności wystarczające. Darmowe i płatne certyfikaty typu DV z technicznego punkty widzenia działają tak samo. Jedyna różnica jest taka, że certyfikaty płatne dają gwarancję.
Jeśli potrzebujemy rozwiązania bardziej skrojonego na miarę naszych potrzeb, warto rozważyć płatny certyfikat np. w przypadku, gdy posiadamy wiele subdomen i chcemy je zabezpieczyć. W takim wypadku warto zainwestować w certyfikat typu Wildcard.
Nie można również zapomnieć o aspekcie wizerunkowym. Instytucje finansowe (np. banki) albo duże korporacje decydują się na płatne certyfikaty, w których znajduje się informacja, że certyfikat wystawiono dla ich firmy. Dzięki temu stają się bardziej wiarygodne.
Zalecenia Google dotyczące wdrożenia certyfikatu SSL
Jeśli wiadomo już czym jest SSL, warto skupić się na tym, jak go wdrażać. Google zaleca, by:
- Certyfikat był zawsze aktualny – certyfikat SSL jest wystawiany na określony okres, po którym należy go odnowić. Ważność certyfikatu można sprawdzić klikając kłódkę przy adresie.
- Certyfikat był zarejestrowany dla właściwej nazwy witryny – jeśli na przykład certyfikat dotyczy tylko domeny z przedrostkiem www, to użytkownicy, którzy wejdą na stronę bez www nie będą mogli jej otworzyć, gdyż strona, którą próbują wyświetlić, jest niezgodna z danymi podanymi w certyfikacie. Dlatego certyfikat najlepiej mieć dla każdej z wersji domeny.
- Nie blokować robotom w pliku robots.txt dostępu do stron pod adresem z https oraz by nie ustawiać dla tych stron tagu noindex.
- Stosować najnowsze wersje protokołu, ponieważ starsze miały luki bezpieczeństwa.
- Na stronie unikać tak zwanego mixed content. Polega on na wyświetlaniu zasobów z adresów zaczynających się od http na stronach z przedrostkiem https.
- Treści na stronach http i https były takie same, a najbardziej optymalne rozwiązanie jest takie, by wersja http strony przekierowywała na wersję https.
Wdrażając certyfikat SSL należy pamiętać o tym, że zmieniają się wtedy adresy URL w witrynie z HTTP na HTTPS i należy podmienić linki na wersję z HTTPS.
Jeśli korzystasz z Google Search Console, pamiętaj, że po wdrożeniu SSL musisz dodać stronę pod adresem z HTTPS jako nową usługę. Google Search Console odróżnia witryny HTTP od HTTPS, dlatego dane dla tych dwóch usług nie są wspólne.
Brak certyfikatu SSL
Brak certyfikatu SSL niesie za sobą kilka skutków. Najbardziej zauważalnym jest wyświetlanie się w przeglądarce monitu, informującego użytkownika o potencjalnym zagrożeniu. Jeśli strona nie korzysta z certyfikatu SSL dane są przesyłane jawnie, co zwiększa ryzyko tego, że ktoś mógłby je podejrzeć lub edytować. W takiej sytuacji przeglądarka poinformuje o tym użytkownika i wyświetli komunikat – jego treść może się różnić w zależności do przeglądarki, jednak przesłanie dotyczy tej samej kwestii.
Komunikat w przeglądarce Chrome o tym, że połączenie nie jest prywatne
Ostrzeżenie o potencjalnym zagrożeniu bezpieczeństwa w przeglądarce Mozilla Firefox
Ponadto brak certyfikatu SSL może sprawiać, że strona zajmuje niższe pozycje w wyszukiwarce Google, ponieważ jest to jeden z czynników rankingowych.
Może wzbudzić również brak zaufania użytkowników i straty wizerunkowe, co może przełożyć się na wyższy współczynnik odrzuceń. Użytkownicy mogą nie chcieć wchodzić na stronę, która uważana jest za potencjalnie niebezpieczną, a podawanie na niej swoich danych jest ryzykowne.
Jak widać – posiadanie prawidłowo wdrożonego certyfikatu SSL jest ważne. Dzięki niemu można nie tylko wzbudzić zaufanie użytkowników, ale również zabezpieczyć stronę oraz zadbać o jeden z wielu elementów, które mają pozytywny wpływ na SEO.
Źródło tekstu: https://seo4.net/blog/budowa-i-optymalizacja-stron/ssl-co-to-jest-jak-dziala-i-jakie-sa-korzysci-z-posiadania-certyfikatu-ssl/