Certyfikat SSL (Secure Sockets Layer) to protokół sieciowy, który jest stosowany dla oznaczenia bezpiecznych połączeń internetowych. Obecnie certyfikat SSL to już standard szyfrowania na stronach www. Dla przeciętnego użytkownika Internetu certyfikat SSL to po prostu gwarancja bezpieczeństwa połączeń pomiędzy przeglądarką internetową a serwerem danej strony.
Czym jest certyfikat SSL?
Certyfikat SSL (SSL (Secure Sockets Layer) to protokół sieciowy, który jest stosowany dla oznaczenia bezpiecznych połączeń internetowych. Obecnie certyfikat SSL to już standard szyfrowania na stronach www. Dla przeciętnego użytkownika Internetu certyfikat SSL to po prostu gwarancja bezpieczeństwa połączeń pomiędzy przeglądarką internetową a serwerem danej strony.
Po czym poznać, że strona używa certyfikatu SSL?
Zainstalowany certyfikat SSL rozpoznamy bardzo prosto – widać go na pasku adresu przeglądarki. O certyfikacie SSL świadczy litera „s” dodana do „http”, tuż przed domeną strony.
Strona www z certyfikatem SSL: https://nazwadomeny
Strona www bez certyfikatu SSL: http://nazwadomeny
Instalacja certyfikatu SSL jest więc widoczna bezpośrednio po wejściu na daną stronę. Co ważne – widać ją w adresie w każdej przeglądarce internetowej. Warto jednak wiedzieć, że protokół SSL nie jest wieczny – zachodzi konieczność odnawiania certyfikatu SSL regularnie. Jeżeli strona, którą zawsze odwiedzaliśmy, utraci ciągłość protokołu SSL, również otrzymamy alert o ryzyku związanym z wejściem na tę stronę.
Jakie są rodzaje certyfikatów SSL?
Certyfikat SSL to dość ogólne pojęcie. Wszystkie certyfikaty SSL podzielić można jeszcze ze względu na typ weryfikacji. Wśród certyfikatów dla pojedynczych domen wyróżniamy 3 podstawowe rodzaje certyfikatów SSL:
- DV – Domain Validation – dobry poziom zabezpieczenia dla wybranej domeny, przy weryfikacji DV (Domain Validation) sprawdzane jest tylko, czy strona internetowa jest opublikowana, dane firmy nie są weryfikowane,
- OV – Organization Validation– wyższy poziom zabezpieczenia dla wybranej domeny, przy weryfikacji sprawdzane są również dane firmy wnioskującej (np.: dane z KRS albo umowa spółki), wizualnym znakiem tego rodzaju zabezpieczenia jest ikona kłódki, którą możemy zaobserwować obok różnych domen,
- EV – Extended Validation – najwyższy poziom zabezpieczenia dla wybranej domeny, ten rodzaj certyfikatu nazywany bywa pełnym uwierzytelnieniem, wizualnym znakiem tego rodzaju zabezpieczenia jest nazwa firmy i zielone oznaczenie w pasku adresu, dane firmy weryfikowane są bardzo wnikliwie, szczególnie pod kątem statusu prawnego, prowadzenia działalności oraz zgodności danych na stronie www z danymi urzędowymi.
Jeden certyfikat dla wielu domen – MultiDomain SSL
Wdrożenie certyfikatu SSL zawsze warto rozpocząć od zastanowienia, czy potrzebujemy jednego certyfikatu, czy raczej kilku certyfikatów SSL dla kilku domen. Rozwiązanie, w którym zabezpieczenie dotyczy wielu domen, nazywamy często MultiDomain SSL. Możemy także spotkać się z innymi nazwami:
- SAN (Subject Alternative Name),
- UCC (Unified Communication Certificate).
Jak działa certyfikat SSL MultiDomain? Wystarczy wykupić jeden certyfikat tego rodzaju, a zabezpieczyć za jego pomogą można potem kilka domen. Najpopularniejszym rozwiązaniem w tym zakresie jest SSL Wildcard, zabezpieczający subdomeny dla wybranej domeny. Wybór takiego rozwiązania to przede wszystkim skrócenie czasu na wydanie certyfikatu.
Jakie korzyści wynikają z korzystania z certyfikatów SSL?
Przeglądarki internetowe doceniają strony internetowe z certyfikatem SSL i wyświetlają je wysoko w wynikach wyszukiwania. Jest to szczególnie ważne w przypadku sklepów internetowych, gdzie wysokość w Google przekłada się często na ruch na stronie, a ruch – na sprzedaż. W przypadku stron firmowych certyfikat SSL może być natomiast potwierdzeniem wiarygodności danego przedsiębiorcy i jego strony www. Przy wejściu na stronę bez certyfikatu SSL użytkownik Internetu otrzyma alert o możliwości wykradzenia jego danych, więc z pewnością nie skorzysta z usług takiej firmy. Bezpieczeństwo danych odgrywa kluczową rolę na stronach firm i w sklepów internetowych, ale dodatkowo certyfikaty SSL to w tym przypadku swego rodzaju gwarancja finansowa.
Ile kosztuje certyfikat SSL?
W przypadku certyfikatów SSL nie ma jednolitych stawek – każda firma zajmująca się szyfrowaniem danych może ustalić własną cenę usługi. Musimy mieć na uwadze fakt, że cena zależna jest od jakości zabezpieczenia (czy wybierzemy certyfikat Domain Validation, Organization Validation czy Extended Validation) oraz ilości domen, które chcemy chronić. Wildcard SSL, przewidziany dla tych, którzy chcą chronić jednocześnie wielue domen, jest na przykład bardzo często sporo tańszy niż pojedyncze wykupowanie certyfikatu SSL dla każdej domeny.
Średnia cena certyfikatu SSL waha się pomiędzy 100 a 1000 zł. Można znaleźć również certyfikaty darmowe.
Często za ceną usługi idzie również jej jakość. Musimy zdawać sobie sprawę, że przy tym produkcie – jak i przy każdym innym – firmy stosuą różnego rodzaju chwyty marketingowe, które mają sprawić, że zapłacimy za certyfikat SSL więcej niż powinniśmy. W cenie „pakietu” sprzedawcy mogą oferować na przykład instalację certyfikatu, gdzie w praktyce jest to bardzo proste i intuicyjne i po prostu… szkoda przepłacać. 😉 Czy natomiast warto płacić w ogóle, skoro są także darmowe opcje posiadania certyfikatu SSL? Sprawdź.
Jakie są różnice pomiędzy darmowym a płatnym certyfikatem SSL?
Jeżeli jesteś właścicielem domeny i czytasz ten artykuł, z pewnością zastanawiasz się, czy warto zapłacić dużo za zabezpieczenia, które oferuje protokół SSL, czy jednak wystarczy pokusić się o skorzystanie z opcji darmowej. Oszczędność, szczególnie przy prowadzeniu kilku domen, może być spora (a zarazem kusząca). Strony udostępniające darmowy certyfikat SSL również dają gwarancję na swoje usługi, ale trzeba przyznać, że przy bezpłatnych mechanizmach bezpieczeństwo użytkowników nie jest tak duże, jak w przypadku certyfikatów płatnych.
Nie dość, że częściej jesteśmy narażeni na ataki, to jeszcze podmioty udostępniające darmowe certyfikaty SSL z reguły nie dają gwarancji na swoje usługi. Oznacza to, że w razie ataku i utraty danych… możemy zostać z niczym. Przy certyfikatach płatnych mamy gwarancję, że w razie wycieku danych lub złamania klucza otrzymamy finansową rekompensatę poniesionych strat. Przy certyfikatach darmowych możemy natomiast zostać z niczym.
Darmowy certyfikat SSL – czy warto?
Jeżeli jednak nasza strona nie wymaga od użytkowników zakładania kont, na których będą oni podawać dane wrażliwe lub uzupełniania danymi formularzy – tak naprawdę darmowy certyfikat SSL może nam wystarczyć. Posiadanie certyfikatu SSL zwiększy zaufanie użytkowników do naszej strony, a w praktyce raczej znacząco nie wpłynie na ryzyko związane z podawaniem danych (skoro danych tych na naszej stronie praktycznie podawać nie muszą).
Co innego jednak, jeżeli na naszej stronie użytkownicy zostawiają sporo swoich danych – wtedy ich bezpieczeństwo powinno być dla nas kwestią priorytetową i zdecydowanie nie warto oszczędzać na certyfikacie. Przy innych kosztach związanych z prowadzeniem strony (tu pisaliśmy, ile kosztuje utrzymanie strony internetowej), te dotyczące certyfikatu są naprawdę niewielkie.
Z praktycznego punktu widzenia podpowiemy jeszcze, że darmowe certyfikaty mają jeszcze niekiedy pewną wadę – gwarantowane są tylko na krótki okres, np.: 3 miesiące. W takiej sytuacji po upływie 3 miesięcy musimy ponownie przedłużać swój certyfikat, a płatne certyfikaty wydawane są co najmniej na rok. Można więc stwierdzić, że płatne certyfikaty są też o tyle lepsze od bezpłatnych, że nie wymagają częstego odnawiania, a darmowe mogą go wymagać.
RODO a certyfikat SSL
Ustawa o RODO (Ogólne rozporządzenie o ochronie danych osobowych) nie nakazuje wprost szyfrowania danych na stronach www za pomocą certyfikatu SSL, ale nakłada na administratorów stron obowiązek wdrażania narzędzi, które zwiększają bezpieczeństwo danych osobowych przetwarzanych przez daną stronę. To samo prawo funkcjonuje w systemach płatności online, bankowości elektronicznej i w zabezpieczaniu transakcji realizowanych przez Internet – tam nasze dane muszą być szczególnie bezpieczne. RODO samo w sobie jednak nie zawiera żadnego punktu bezpośrednio zobowiązującego do wdrożenia certyfikatu SSL na stronie internetowej.
Jak wybrać dobry certyfikat SSL?
Żeby wybrać dobry certyfikat SSL, przede wszystkim trzeba zastanowić się nad jego typem. Musimy na samym początku zdecydować, jak wysokiego stopnia zabezpieczenia potrzebujemy oraz czy zależy nam na ochronie jednej domeny, czy kilku domen. Certyfikat Wildcard wystawiony dla konkretnego rozszerzenia domeny będzie zabezpieczał kilka adresów w jednej cenie i za jedną transakcją. W Internecie znajdziemy wiele ofert, w których liczba subdomen w ramach jednej płatności online jest nielimitowana.
Ponadto w zakresie płatnych certyfikatów SSL tak naprawdę nie ma lepszych i gorszych usług pod kątem samej ochrony danych. Albo posiadamy zabezpieczenie protokołem SSL, albo go nie posiadamy. Różnica tkwi natomiast w gwarancji. To w niej znajdować się może wiele kruczków, przez które w razie kłopotów z wyciekiem danych naszych użytkowników, po prostu zostaniemy z niczym. Orientując się w zakresie certyfikatów SSL i różnych dostępnych na rynku ofert warto zatem skupić się na punktach umów oferowanych przez firmy.
Dlaczego warto posiadać certyfikat SSL na swojej stronie?
Podać można wiele powodów, dla których warto posiadać certyfikat SSL na swojej stronie internetowej. Najważniejsze z nich to:
- Certyfikat SSL znacząco zwiększa bezpieczeństwo użytkowników w Internecie, ponieważ wszelkie dane wysyłane między użytkownikiem a serwerem są zaszyfrowane.
- Dzięki certyfikatowi SSL dane logowania, dane o transakcjach w sklepach oraz formularze nie mogą zostać przechwycone przez hakerów.
- Według specjalistów posiadanie certyfikatu SSL ma pozytywny wpływ na SEO, głównie ze względu na zwiększone bezpieczeństwo.
- Istnieje uzasadnione ryzyko, że Google w przyszłości nie będzie wyświetlał stron bez certyfikatu SSL.
- Wszystkie przeglądarki utrudniają dostęp do takich witryn, użytkownik jest straszony komunikatem o niezaszyfrowanym połączeniu, który musi zaakceptować. Większość użytkowników w obliczu takiego komunikatu po prostu rezygnuje z wejścia na daną stronę.
- Użytkownicy Internetu czują się bezpieczniej, jeżeli mają kłódkę przy adresie.