Co to jest certyfikat SSL

Piotr Skrzypczak
Być może już teraz części z Was certyfikat SSL kojarzy się z “https” poprzedzającym adres strony internetowej czy też z kłódką pojawiającą się w pasku adresu. Są to zdecydowanie dobre skojarzenia, a w tym artykule postaram się uporządkować tę wiedzę i odpowiedzieć na pytanie czy Wasza strona potrzebuje Certyfikatu SSL.

Ważne pojęcia

Protokół SSL (ang. Secure Sockets Layer) – protokół oparty na szyfrowaniu, zapewniający bezpieczeństwo połączeniom internetowym. Został opracowany w latach 90. przez firmę Netscape w celu zapewnienia prywatności, uwierzytelniania i autoryzacji w komunikacji internetowej. SSL jest poprzednikiem stosowanego dzisiaj nowoczesnego szyfrowania TLS .

Protokół TLS (ang. Transport Layer Security) – został opracowany w 1999 roku przez Internet Engineering Task Force (IETF) i jest zaktualizowaną wersją protokołu SSL. Z racji, że ta aktualizacja została zaproponowana przez inną firmę, zmieniona została nazwa – z SSL na TLS. Oba terminy (SSL, TLS) są często używane zamiennie, a czasem spotyka się także nazewnictwo SSL/TLS. TLS jest standardem od ponad 20 lat i praktycznie każdy dostawca oferujący obecnie Certyfikat SSL wykorzystuje protokół TLS. Dla ułatwienia w tym artykule pozostańmy przy nazwie SSL.

HTTP (ang. Hypertext Transfer Protocol) – protokół umożliwiający przesyłanie żądania udostępniania danych w sieci internetowej.

HTTPS (ang. Hypertext Transfer Protocol Secure) – protokół http z zabezpieczeniem. Witryna, która implementuje SSL, ma w adresie strony internetowej „https” zamiast “http”.

Certyfikat SSL – cyfrowy dokument  zapewniający poufność transmisji danych przesyłanych przez Internet poprzez użycie protokołu SSL.

Czy potrzebuję certyfikat SSL na swojej stronie internetowej?

Zdecydowanie tak! Jeszcze kilka lat temu można było rozważać warto czy nie warto. Co się zmieniło? Dziś możemy zaobserwować, że strony wykorzystujące protokół SSL są  wyraźnie faworyzowane przez wyszukiwarkę Google. Od tego argumentu, ważniejszy dla niektórych może być ten, że obecnie istnieją darmowe certyfikaty SSL, więc nie trzeba już przeliczać czy się to opłaca dla Twojego biznesu. 

Strony, które nie wykorzystują SSL, a zawierają pola do wpisywania haseł lub numerów kart kredytowych, są oznaczane przez przeglądarki jako niebezpieczne. Sami z pewnością spotkaliście się z takim komunikatem (zdecydowanie nie zachęca on do dalszego korzystania ze strony):

Inne korzyści wynikające z korzystania z certyfikatu SSL:

  • zwiększa zaufanie Klientów i pozytywnie wpływa na user experience,
  • zapewnia użytkownikom prywatność,
  • gwarantuje poprawność pobieranych danych,
  • pozytywnie wpływa na wizerunek firmy podkreślając profesjonalizm,
  • umożliwia korzystanie z bramek płatności.

Osoby, które prowadzą bloga albo mają prostą stronę wizytówkową, mogłyby przed przeczytaniem tego artykułu powiedzieć, że przecież nie pozyskują żadnych danych od klientów i “https” nie jest im potrzebne. Myślę jednak, że powyższe korzyści w połączeniu z niewielkim czasem wdrożenia na stosunkowo prostych stronach typu blog, strona informacyjna, mogą to spojrzenie zmienić. Dla stron sklepowych, w których dochodzi do transakcji, posiadanie certyfikatu SSL jest zdecydowaną koniecznością..


Pytanie nie powinno brzmieć „czy potrzebuję”, ale jaki certyfikat wybrać.

Rodzaje certyfikatów SSL ze względu na typ weryfikacji:

DV (Domain Validation) – przy wydawaniu certyfikatu weryfikacji poddawana jest wyłącznie zgłaszana domena, dla większości stron ten typ weryfikacji będzie wystarczający.

OV (Organization Validation) – przy wydawaniu certyfikatu weryfikacji poddawana jest zgłaszana domena oraz organizacja wnioskująca o wydanie certyfikatu.

EV (Extended Validation) – pełne uwierzytelnienie, w toku nadawania certyfikatu szczegółowo jest potwierdzana tożsamość podmiotu, przejawia się to m.in. widoczną nazwą firmy. Ten rodzaj weryfikacji jest stosowany w bankach i organizacjach finansowych.

Ponadto dla osób czy też firm posiadających wiele domen pomocny może okazać się podział certyfikatów w zależności od liczby domen/subdomen, które obejmują swoim działaniem:

Single – zabezpiecza pojedynczą domenę, jest dostępny dla weryfikacji DV, OV oraz EV. 

Wildcard – zabezpiecza domenę wraz ze wszystkimi subdomenami, jest dostępny dla weryfikacji DV i OV.

Multi-Domain – zabezpiecza wiele różnych domen należących do jednej organizacji, dostępny dla weryfikacji DV, OV i EV.

Darmowy czy płatny?

Gdy decydujemy się na weryfikację jedynie samej domeny możemy skorzystać z płatnych certyfikatów lub bezpłatnego certyfikatu Let’s Encrypt. Nie obejmuje on bardziej zaawansowanych typów weryfikacji, czyli OV oraz EV, które zawsze są płatne.

Większość hostingodawców umożliwia instalację darmowego certyfikatu Lets’ Encrypt. Z technicznego punktu widzenia wszystko działa tak samo jak przy płatnych wersjach. Różnice są jedynie prawne, np. w gwarancjach, które daje dostawca certyfikatu. W jednym z kolejnych artykułów opiszę jak samodzielnie wdrożyć certyfikat Let’s Encrypt.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *