1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Loading...

Certyfikat SSL – Poradnik Dla Właścicieli Stron i Sklepów Internetowych 2018

by Michał Kowalski Czerwiec 25, 2018
Certyfikat SSL - Poradnik Dla Stron I Sklepów Internetowych

Praktycznie każdy użytkownik internetu kojarzy zagadnienie certyfikatu SSL, spotykamy się z nim na stronach internetowych banków, instytucji oraz w witrynach sklepów internetowych w postaci „zielonej kłódki” widocznej w pasku adresowym przeglądarki. Tym bardziej powinni nim zainteresować się właściciele stron internetowych i sklepów, którym zależy na bezpieczeństwie i dobrym pozycjonowaniu. W tym poradniku wyjaśniam czym jest certyfikat SSL, w jakim przypadku jest niezbędny i kiedy warto go stosować. Znajdziesz tu wszystko co musisz wiedzieć na temat certyfikatów SSL w 2018 roku, zarówno w przypadku gdy prowadzisz bloga, stronę internetową firmy czy sprzedaż za pośrednictwem sklepu internetowego. Adresy z protokołem HTTPS obecnie stają się standardem. W niedługim czasie mogą stać się podstawowym elementem każdej usługi hostingowej. Poznaj zasady jak zainstalować HTTPS na stronie aby nie stracić ruchu i nie spowodować trwałego spadku pozycji w wynikach wyszukiwarki Google.

Spis treści – to znajdziesz we wpisie:

  1. Co to jest certyfikat SSL?
  2. Dlaczego warto stosować certyfikat SSL na stronie internetowej?
  3. Kto powinien stosować zabezpieczenie strony protokołem HTTPS?
  4. Rodzaje certyfikatów SSL – jaki potrzebujesz certyfikat?
  5. Wpływ certyfikatu SSL na pozycjonowanie w Google – czy https:// pomaga w SEO?
  6. Dobry certyfikat SSL – wymagania dla certyfikatów SSL
  7. Gdzie kupić odpowiedni certyfikat SSL – ile to kosztuje?
  8. Bezpłatny certyfikat SSL – gdzie za darmo i czy warto?
  9. Problemy i błędy związane z instalacją HTTPS na stronie

Co to jest certyfikat SSL?

Certyfikat SSL jest rozwiązaniem, które pozwala w skuteczny sposób zapewnić bezpieczeństwo danych jakie wysyłasz na stronę internetową  – szyfruje komunikację oraz zapewnia o tożsamości właściciela domeny. Bezpieczeństwo jakie wprowadza certyfikat daje dwie rzeczy:

  • mamy pewność co do tego kto jest właścicielem danej witryny,
  • realizujemy szyfrowanie danych za pomocą protokołu SSL/TLS na którym oparty jest HTTPS.

Zyskujemy zatem  pewność, że strona internetowa korzystająca z tego zabezpieczenia należy do danej domeny (nie została np. podmieniona przez oszusta) oraz, że numery karty kredytowej jakie wpisujesz w formularzu na stronie sklepu online są przesyłane w formie zaszyfrowanej i trudno jest je pozyskać np. przez podsłuchanie. Trzeba by naprawdę dobrego komputera i dużo czasu aby złamać to zabezpieczenie.

Certyfikaty są wystawiane przez zaufane instytucje tak zwane Urzędy Certyfikacji (Certificate Authority – CA) – one generują certyfikat i dają gwarancję na bezpieczeństwo tego rozwiązania. Strona bezpieczna oznaczona jest kłódką w pasku adresowym przeglądarki internetowej oraz posiada https:// w adresie URL, w zależności od rodzaju przeglądarki może to wyglądać jak poniżej.

Strona zabezpieczona certyfikatem SSL w Google Chrome na komputerze z Windows.

strona bezpieczna z certyfikatem ssl google chrome

Strona bezpieczna z certyfikatem SSL w przeglądarce internetowej Google Chrome – widać charakterystyczną „zieloną kłódkę w pasku adresu”.

Strona zabezpieczona certyfikatem SSL w Microsoft Edge na komputerze z Windows.

Strona bezpieczna z certyfikatem SSL w Microsoft Edge

Strona bezpieczna z certyfikatem SSL w przeglądarce Microsoft Edge – widać „szarą kłódkę” w pasku adresu.

 

Strona zabezpieczona certyfikatem SSL w Google Chrome na smartfonie z Androidem.

Strona zabezpieczona HTTPS na smartfonie z Androidem

Strona zabezpieczona protokołem szyfrowanym HTTPS na smartfonie z Androidem – widać ikonę z kłódką w pasku adresu.

Dlaczego warto zastosować certyfikat SSL i HTTPS na stronie internetowej?

W 2018 roku jest jeszcze więcej istotnych powodów aby stosować zabezpieczenie certyfikatem SSL – dotyczy to zarówno sklepów internetowych, serwisów oraz stron firmowych. Po pierwsze certyfikat podnosi znacznie bezpieczeństwo korzystania z witryny – dane wysyłane przez formularze na stronie są szyfrowane, klienci chętniej skorzystają z zakupów w takim przypadku bo mają pewność, że ich dane są zabezpieczone i trafiają do właściciela domeny. Sam w sobie certyfikat jest również elementem podnoszącym poziom zaufania do strony i daje pewność, że instytucja lub osoba do której należy jest świadoma zagrożeń w internecie.

RODO i ochrona danych osobowych wymagają stosowania środków bezpieczeństwa

Już od dawana obowiązuje w naszym kraju ustawa o ochronie danych osobowych, a od 25 maja 2018 roku obowiązuje najnowsza regulacja RODO, która jeszcze bardziej zwraca uwagę na zapewnienie ochrony przetwarzania danych osobowych w internecie. Certyfikat SSL jest takim elementem, który wprowadza i podnosi bezpieczeństwo związane z ochroną danych osobowych i tym samym jest dodatkowo pożądanym elementem w sklepach internetowych i witrynach gdzie użytkownicy udostępniają swoje dane poprzez stronę internetową. Stąd firmy, które wdrożyły politykę ochrony danych osobowych powinny skorzystać z certyfikatów SSL.

Oficjalne wytyczne wyszukiwarki Google

Oficjalne stanowisko Google i wytyczne dla webmasterów mówią jasno, że Google zachęca twórców i właścicieli witryn do stosowania szyfrowanego protokołu HTTPS – w odpowiedzi na oczekiwanie użytkowników, że właściciel strony zadba o bezpieczeństwo swoich odbiorców. Przy tym oficjalny serwis wsparcia Google udziela wielu wskazówek jak wdrożyć https na stronie internetowej, tak aby roboty i algorytm wyszukiwarki mogły bez problemów analizować witrynę i dobrze pozycjonować w wynikach wyszukiwania. Warto z nich skorzystać aby nie stracić pozycji i ruchu na stronie.

Ilość stron internetowych z HTTPS

Ilość stron internetowych z HTTPS 2015-2017 – źródło: https://www.blog.google/technology/safety-security/say-yes-https-chrome-secures-web-one-site-time/

 

Google opublikował statystyki dla HTTPS, gdzie informuje o tym że w przeglądarce Google Chrome:

  • ponad 68% ruchu w Chrome na Androida i Windows jest teraz chronione przez HTTPS
  • ponad 78% ruchu Chrome w systemach operacyjnych Chrome i Mac jest teraz chronione
  • 81 z 100 najlepszych witryn internetowych domyślnie używa protokołu HTTPS

Więcej informacji od Google na temat HTTPS znajdziesz tutaj: transparencyreport.google.com/https/

Najnowsza wersja przeglądarek internetowych (w tym Google Chrome 68) oznacza strony bez HTTPS jako niezabezpiecznona

Już teraz przeglądarki stron internetowych (Google Chrome, Mozilla Firefox, Opera, Microsoft Edge) oznaczają strony bez certyfikatu – jest to najczęściej szara ikona w pasku adresu, która oznacza brak zabezpieczenia transmisji danych ze stroną, po kliknięciu rozwijana jest informacja o treści „Strona niezabezpieczona„. Natomiast najnowsza wersja Google Chrome 68, która zgodnie z oficjalnym komunikatem wyjdzie na przełomie czerwca i sierpnia 2018 roku, ma pójść znacznie dalej i wyświetlać od razu widoczny w pasku adresu komunikat „Strona niebezpieczna„. To dodatkowy powód aby iść z trendem i spełnić oczekiwania użytkowników.

 

Oznaczenie strony bez HTTPS w nowym Google Chrome 68

Oznaczenie strony bez HTTPS w nowym Google Chrome 68 – dodatkowa informacja tekstowa o tym, że adres jest niezabezpieczony.

 

Główne uzasadnienia do stosowania certyfikatu SSL na stronie internetowej:

  • Poufność i bezpieczeństwo danych klientów i użytkowników
  • Bezpieczeństwo transakcji internetowych w tym płatności elektronicznych
  • Wiarygodność witryny i jej właściciela
  • Właściwości najnowszych wersji przeglądarek – w tym Google Chrome 68
  • Ochrona danych osobowych zgodnie z zasadami rekomendacji RODO
  • Lepsze pozycjonowanie strony w przyszłości

Kto powinien stosować zabezpieczenie strony protokołem HTTPS?

Potrzeba stosowania protokołu https pojawia się przede wszystkim gdy prowadzisz sklep internetowy lub serwis, w którym odbywa się rejestracja użytkowników z przekazaniem danych osobowych oraz płatności elektroniczne on-line, wymagające podania danych autoryzacyjnych do banków czy danych z kart płatniczych i kredytowych.

Ze względu na zgodność z najnowszymi przeglądarkami internetowymi na komputerach i urządzeniach mobilnych, z certyfikatu SSL powinny skorzystać właściciele stron firmowych, które są wykorzystywane do komunikacji z klientami – blogi, biznesy lokalne, serwisy tematyczne. Z czasem każdy, kto poważnie myśli o działaniach komercyjnych w internecie za pośrednictwem adresu strony internetowej powinien wdrożyć na stronie https. Również po to aby spełnić wytyczne Google i jako element optymalizacji witryny dla lepszego SEO.

Witryny, które powinny posiadać certyfikat SSL i adres z HTTPS:

  • sklep internetowy
  • serwis internetowy z rejestracją i logowaniem użytkowników
  • aplikacja internetowa z logowaniem i obsługą płatności
  • strona firmowa, która obsługuje klientów
  • blogi profesjonalne z zapisem do newslettera
  • forum dyskusyjne z rejestracją danych użytkowników

Rodzaje certyfikatów SSL – jaki potrzebujesz certyfikat dla strony www?

Obecnie możemy nabyć trzy podstawowe rodzje certyfikatu, który wybieramy w zależności od tego jaką mamy witrynę, czy stosujemy subdomeny czy tylko adres główny oraz jaki potrzebujemy poziom zabezpieczenia i gwarancji wystawcy.

Rodzaj certyfikatu SSL Właściwości certyfikatu
DV – Domain Validated Certyfikat weryfikowany na poziomie domeny. Podstawowy typ certyfikatu, kosztuje najmniej, wystawienie zajmuje ok. 5 minut oraz oferuje gwarancję finansową w razie złamania zabezpieczenia w kwocie do kilkudziesięciu tys. zł.
OV – Organization Validation Certyfikat weryfikowany na poziomie firmy, wymaga podania większej ilości danych, jest droższy, wystawienie trwa dłużej i wystawca daje wyższą kwotę ubezpieczenia w razie złamania zabezpieczenia.
Certyfikat na jedną domenę Zabezpiecza jedną nazwę domeny, np. pierwszywgoogle.pl, czasami dodatkowo obsługuje również subdomenę www., ale nie zawsze.
Certyfikat na subdomeny – wildcard Zabezpiecza wiele subdomen w danej domenie *.pierwszywgoogle.pl – może więc działać w serwisie www.pierwszywgoogle.pl oraz w serwisie na sudomenie sklep.pierwszywgoogle.pl 😉
Certyfikat multidomain Zabezpiecza wiele różnych domen jednym podpisem cyfrowym.

Większość stron internetowych – sklepy, fora skorzystają z podstawowej wersji typu DV, dlatego większość właścicieli witryn powinna skorzystać z certyfikatu typu domenowego DV. Jeżeli natomiast musisz korzystać z subdomen, wielu różnych domen lub wyższego poziomu certyfikacji typu OV to pewnie masz informatyków od tego tematu i nie czytasz mojego poradnika 😉

Wpływ certyfikatu SSL na pozycjonowanie w Google – czy https:// pomaga w SEO?

Google oficjalnie już w 2014 roku opublikowało informację, że https jest czynnikiem rankigowym (wpływa na pozycjonowanie). Nie potrafię jednoznacznie odpowiedzieć na pytanie w jakim stopniu obecnie https wpływa na pozycje w wynikach wyszukiwarki Google. Generalnie strony, które przepinałem na https wykazywały spadki w wynikach wyszukiwania zaraz po przepięciu. W dłuższej perspektywie po dalszym pozycjonowaniu obserwowałem nieznaczny wzrost pozycji i zauważalny wzrost ruchu na stronie. Jedno jest pewne, w wynikach wyszukiwarki Google na pierwszych miejscach znajduje się znaczna większość witryn, w tym sklepów internetowych działających z użyciem https – stąd pierwszy wniosek, że https nie wpływa negatywnie na pozycje – poniżej obrazek. Za tym idzie założenie, że certyfikat może pomagać w osiąganiu lepszej pozycji jako jeden z wielu czynników rankingu. Google w oficjalnych wytycznych dla webmasterów (o czym już wspomniałem) zaleca stosowanie https. Aby jednak zyskać na instalacji certyfikatu trzeba trochę na ten temat wiedzieć i nie zepsuć nic w witrynie oraz pomóc wyszukiwarce w zaindeksowaniu nowej wersji witryny – poradnik do pobrania w tym wpisie pokazuje jakie kroki należy wykonać aby bezpiecznie przepiąć adres z http:// na https://.

Wyniki wyszukiwarki Google dla frazy sklep sportowy - w top sklepy z https

Wyniki wyszukiwarki Google dla frazy sklep sportowy – w top sklepy z https

 

Na tej podstawie można postawić rekomendację – posiadanie prawidłowo wdrożonego https stanowi jeden z pozytywnych czynników rankingowych i w dłuższej perspektywie może poprawić pozycjonowanie w wynikach wyszukiwania. Moim zdaniem jest on obecnie obowiązkowym elementem optymalizacji stron dla lepszego SEO i wpływa pozytywnie na ranking, a ponadto użytkownicy przyzwyczajeni do symbolu „zielonej kłódki” i adresu z HTTPS będą preferowali klikanie w strony oznaczone jako bezpieczne.

Spadki po instalacji certyfikatu i przejściu na HTTPS?

Spadki pozycji w wynikach wyszukiwarki oraz utrata ruchu na stronie internetowej po zainstalowaniu certyfikatu i wdrożeniu https pojawiają się z kilku powodów. Ważne  aby w dłuższej perspektywie witryna się odbiła i była wyżej i generowała więcej ruchu niż przed przepięciem.

Spadki pozycji po instalacji certyfikatu mogą być spowodowane:

a) zmiana adresu witryny dla wyszukiwarki http://mojadomena.pl i https://mojadomena.pl to dwa różne URL’e, które roboty muszą przeczytać i umieścić w indeksie,

b) utrata linków bezpośrednich prowadzących do bieżącego adresu http, po przepięciu nie ma linków do https co najwyżej przekierowania,

c) błędy w treści witryny np. mixed-conent,

d) błędy w instalacji certyfikatu,

e) błędy w przekierowaniach starych adresów na nowe.

Dodatkowo można popełnić całą masę błędów, które będą powodowały problemy z zachowaniem wysokich pozycji po przejściu na bezpieczną wersję, o których piszę w dalszej części.

Dobry certyfikat SSL – wymagania dla certyfikatów SSL

To warto wiedzieć aby wybrać odpowiedni certyfikat i prawidłowo go stosować do zabezpieczenia witryny z https:

  • certyfikat DV powinien obsługiwać również adres z www.
  • certyfikat DV powinien obsługiwać kilka metod weryfikacji: e-mail, plik txt, rekord dns
  • klucz użyty do wygenerowania certyfikatu powinien mieć długość 2048 bit – krótsze nie zapweniają bezpieczeństwa, dłuższy np. 40 wpływa negatywnie na wydajność (wydłuża czas odpowiedzi serwera)
  • certyfikat powinien po wdrożeniu dawać jak najwyższą ocenę GRADE -> A lub B tutaj  wymaga to czasami poprawienia konfiguracji serwera stron (Apache, nginx)
  • gwarancja finansowa wystawcy powinna być proporcjonalna do ryzyka i wartości biznesowej witryny, zwykły blog nie potrzebuje tak tużej ochrony jak sklep internetowy, na blogu prywatnym wystarczy bezpłatny certyfikat typu Let’s Encrypt w sklepie internetowym sugeruję zainstalować certyfikat SSL od komercyjnego wystawcy

Osobiście na blogu pierwszywgoogle.pl wybrałem certyfikat DV Comodo PositiveSSL jest odpowiedni co do parametrów i ma racjonalny koszt, rekomenduję go również do innych witryn komercyjnych, gdzie wystarcza zwykła walidacja na poziomie domeny.

Gdzie kupić odpowiedni certyfikat SSL – ile to kosztuje?

Certyfikat kupisz niemal u każdego większego usługodawcy hostingu, koszt takiego rozwiązania jest różny – w zależności jaki certyfikat potrzebujesz. Jeżeli wystarcza ci certyfikat domenowy (DV) możesz wykorzystać darmowy certyfikat Let’s Encrypt jeżeli Twój serwer go obsługuje lub nabyć najtańszy certyfikat SSL, który kosztuje od ok 29 zł + VAT /rok. Nie zapominaj, że wykupiony certyfikat trzeba wygenerować, zainstalować na serwerze i skonfigurować odpowiednio aplikację na której masz stronę internetową w zależności czy masz CMS WordPress, Joomla czy sklep na PrestaShop.

Usługodawca Adres oferty Cena komercyjnego Certyfikatu DV / rok (najtańszy) Uwagi
Certyfikat SSL w OVH https://www.ovh.pl/ssl/ 221,95 zł + VAT wyłącznie z hostingiem w OVH
Certyfikat SSL w Nazwa.pl https://www.nazwa.pl/certyfikaty-ssl/ 200,00 zł + VAT pierwszy rok w promocji, za 11,88 zł netto
Certyfikat SSL w LinuxPL https://linuxpl.com/Certyfikaty-SSL 75,00 zł + VAT pomoc w instalacji na usłudze hostingowej, wymaga dokupienia adresu IP za 120 zł + VAT /rok
Certyfikat SSL w VIBIZNES https://vipower.pl/panel/cart.php?gid=14 29,00 zł + VAT dobra pomoc techniczna
Certyfikat SSL w DATA RUBICON 60,00 zł + VAT pomoc w generowaniu, instalacji oraz zgodności z SEO, moja oferta

Bezpłatny certyfikat SSL – gdzie za darmo i czy warto?

Najpopularniejszym bezpłatnym certyfikatem SSL, który jest wystawiany za darmo jest rozwiązanie Let’s Encrypt, jest to jedyny bezpłatny sposób na wdrożenie https godny polecenia, wymaga jednak aby usługodawca hostingu wspierał jego obsługę. Jedyny problem jaki się wiąże z tym certyfikatem jest fakt, że musi być odnowiony co 3 miesiące, dlatego musi być skonfigurowany do automatycznego przedłużenia. Jako rozwiązanie bezpłatne nie daje on gwarancji ciągłości obsługi i nadaje się raczej na blogi i proste strony, na strony komercyjne raczej nie zalecał bym korzystania z tego rozwiązania. Na blogi, małe fora dyskusyjne i lokalne strony firmowe może wystarczyć – jeżeli dopiero zaczynasz, nie robisz miliona obrotu miesięcznie możesz rozważyć użycie go na swojej stronie pod warunkiem, że serwer ma to wdrożone i nie trzeba wykonać dużo konfiguracji.

Lista polskich usługodawców hostingu, których serwery obsługują bezpłatny certyfikat SSL od Let’s Encrypt:

OVH  
LinuxPL 
Hekko (H88 S.A.) 
Hitme.pl 
HostingHouse.pl

Już niebawem: Lista wszystkich polskich serwerów obsługujących darmowy certyfikat SSL – Let’s Encrypt.

Problemy i błędy związane z instalacją HTTPS na stronie

Jak każde rozwiązanie protokół https na stronie może powodować problemy, należy zwrócić uwagę aby nie popełnić poniższych błędów:

  • zbyt słaby klucz – np. 1024 jest podatny niebezpieczeństwo złamania
  • błędna instalacja certyfikatu na serwerze – np. brak certyfikatów pośredniczących
  • błędne przekierowanie adresów http na https – np. przekierowanie z nagłówkiem 302
  • źródła w kodzie HTML strony korzystające z nieszyfrowanego protokołu http – np. zewnętrzne obrazki lub czcionki – błąd typumixed content
  • wygaśnięcie certyfikatu, należy pamiętać o odnowieniu certyfikatu przed końcem ważności  i ponownie zainstalować
  • brak konfiguracji i weryfikacji strony w wersji https:// w usłudze Google Search Console
  • brak nowej mapy witryny XML z adresami w protokole https://

Problemy i błędy związane z instalacją certyfikatu i https – nie tylko SEO

  • spadek pozycji i ruchu po instalacji certyfikatu
  • problemy duplikacji treści, po zaindeksowaniu wersji http i https
  • wyświetlanie ostrzeżenia w przeglądarce internetowej o odnośnikach do niezabezpieczonej treści
  • słaba konfiguracja serwera do obsługi szyfrowania SSL (słabe mechanizmy szyfrowania)
  • utrata udostępnień na Facebook i Google+

Pytania na temat certyfikatów SSL i przejścia na HTTPS?

Jeżeli masz pytania lub uwagi możesz zadać je w komentarzu pod wpisem lub na mojej Grupie Facebook – Sam Pozycjonuję 😉

Social Shares

Leave a Comment

Your email address will not be published. Required fields are marked *