SSL i HTTPS, dlaczego są konieczne

SSL i HTTPS, krótka odpowiedź

Certyfikat SSL to dziś minimum, które każda strona firmowa musi spełniać. Bez niego przeglądarka wyświetla ostrzeżenie "Niezabezpieczona", Google traktuje Cię jak petenta drugiej kategorii, a klient, który zobaczy czerwony komunikat, najczęściej po prostu wychodzi. SSL kosztuje od zera do kilkudziesięciu złotych rocznie i nie ma żadnego racjonalnego powodu, żeby go nie mieć.

Ten artykuł jest dla właściciela firmy, który słyszał o certyfikacie SSL, ale nie do końca wie, co to jest, dlaczego jest ważny i co zrobić, żeby go mieć. Wyjaśniamy to bez technicznego żargonu, z konkretnymi liczbami i praktycznymi krokami.

Co to jest certyfikat SSL i protokół HTTPS

SSL to skrót od Secure Sockets Layer, czyli warstwy bezpiecznych połączeń. W praktyce jest to plik cyfrowy, który instaluje się na serwerze hostingowym i sprawia, że dane przesyłane między przeglądarką a stroną są szyfrowane. Dziś technicznie używa się nowszej wersji o nazwie TLS, ale potoczna nazwa SSL przyjęła się i nikt jej nie zmienia.

Efektem działania SSL jest protokół HTTPS, czyli Hypertext Transfer Protocol Secure. To ta zielona kłódka lub napis "https://" przed adresem strony w pasku przeglądarki. Strona bez SSL działa po protokole HTTP, a przeglądarka oznacza ją jako niezabezpieczoną.

Najprostszy obraz tego, jak to działa: wyobraź sobie, że wysyłasz list. HTTP to jak kartka pocztowa, którą może odczytać każdy listonosz po drodze. HTTPS to ten sam list w zamkniętej kopercie z unikalnym zamkiem, którego klucz mają tylko nadawca i adresat.

Co szyfruje certyfikat SSL

Certyfikat SSL chroni wszystkie dane przesyłane między użytkownikiem a serwerem. W kontekście typowej strony firmowej to:

• Dane z formularzy kontaktowych, na przykład imię, numer telefonu, treść zapytania.
• Dane logowania, jeśli strona ma panel administracyjny lub konto klienta.
• Informacje o tym, co użytkownik robi na stronie, czyli historia przeglądania podstron.
• W sklepach internetowych przede wszystkim dane płatnicze i adresowe.

Bez SSL te dane mogą być przechwycone przez osoby trzecie w sieci publicznej, na przykład w kawiarni przez otwarte Wi-Fi.

Dlaczego przeglądarka wyświetla ostrzeżenie przy HTTP

Google Chrome, Firefox, Safari i Edge od kilku lat aktywnie informują użytkowników o stronach bez SSL. Wygląda to różnie w zależności od przeglądarki i wersji, ale efekt jest ten sam. Przy wejściu na stronę HTTP klient widzi jeden z kilku komunikatów.

W pasku adresu pojawia się napis "Niezabezpieczona" lub ikona ostrzegawczego trójkąta zamiast kłódki. Przy próbie wypełnienia formularza część przeglądarek wyświetla dodatkowy alert z pytaniem, czy użytkownik na pewno chce przesłać dane przez niezabezpieczone połączenie. W skrajnych przypadkach, na przykład przy starszych konfiguracjach, ekran zajmuje pełnostronicowe ostrzeżenie z czerwonym tłem, które trzeba kliknąć, żeby kontynuować.

Z perspektywy potencjalnego klienta, który trafia na Twoją stronę po raz pierwszy, taki komunikat jest prosty w interpretacji. Jeśli firma nie zadbała o podstawowe bezpieczeństwo swojej strony, to co mówi o tym, jak traktuje dane klientów? Większość użytkowników po prostu wychodzi i szuka konkurencji.

Wpływ SSL na pozycje w Google

Google potwierdziło HTTPS jako sygnał rankingowy już w 2014 roku i od tamtej pory systematycznie zwiększało jego wagę. Nie jest to czynnik decydujący o pozycjach, ale przy zbliżonym poziomie jakości treści i linków, strona z HTTPS ma przewagę nad stroną z HTTP (Google Search Central).

W praktyce wpływ SSL na SEO działa na trzech poziomach.

Bezpośredni sygnał rankingowy to jeden. Google traktuje HTTPS jako potwierdzenie, że strona jest bezpieczna dla użytkowników, i premiuje ją w wynikach wyszukiwania.

Pośredni wpływ przez wskaźniki zaangażowania to dwa. Jeśli klient widzi ostrzeżenie i natychmiast opuszcza stronę, Google rejestruje wysoką porzucalność. Strony z wysokim bounce rate i krótkim czasem wizyty rankują słabiej.

Wpływ na CTR, czyli współczynnik kliknięć, to trzy. Część wyszukiwarek wyświetla informację o niezabezpieczonej stronie już w wynikach wyszukiwania. Użytkownicy chętniej klikają strony, które wizualnie wyglądają na godne zaufania. Wyższy CTR to z kolei sygnał dla Google, że strona jest warta wyświetlania wyżej (Backlinko, Google CTR Stats).

Jeśli zależy Ci na widoczności w Google, brak SSL to błąd, który kosztuje Cię podwójnie: bezpośrednio przez słabszy sygnał rankingowy i pośrednio przez gorszą konwersję. Więcej o tym, jak budować widoczność lokalną, znajdziesz w artykule czym jest local SEO.

Rodzaje certyfikatów SSL

Nie wszystkie certyfikaty SSL są takie same. Różnią się poziomem weryfikacji, ceną i tym, dla kogo są odpowiednie. Dla zdecydowanej większości stron firmowych wystarczy darmowy certyfikat z podstawową weryfikacją.

DV, OV i EV, co oznaczają skróty

DV (Domain Validation) to certyfikat z weryfikacją domeny. Urząd certyfikacji sprawdza jedynie, czy wnioskujący kontroluje daną domenę. Weryfikacja jest automatyczna i zajmuje minuty. Certyfikaty DV są darmowe lub tanie i w zupełności wystarczają dla typowej strony firmowej czy bloga.

OV (Organization Validation) to certyfikat z weryfikacją organizacji. Urząd sprawdza też dane firmy, na przykład numer w rejestrze. Użytkownik może zobaczyć dane firmy w szczegółach certyfikatu. OV ma sens dla firm, którym zależy na dodatkowym sygnale wiarygodności.

EV (Extended Validation) to certyfikat z rozszerzoną weryfikacją. Kiedyś wyróżniał się zielonym paskiem z nazwą firmy w przeglądarce, ale większość przeglądarek zrezygnowała z tego wyróżnienia. Dziś EV to przede wszystkim banki i duże instytucje finansowe.

Let's Encrypt, darmowy certyfikat SSL dla każdego

Let's Encrypt to darmowy urząd certyfikacji, który od 2016 roku wydaje certyfikaty SSL bez opłat. Dziś jest to jeden z największych i najbardziej zaufanych dostawców certyfikatów na świecie. Wszystkie popularne przeglądarki uznają certyfikaty Let's Encrypt za w pełni zaufane. Dla przeglądarki i dla Google nie ma żadnej różnicy między darmowym certyfikatem Let's Encrypt a płatnym certyfikatem DV.

Większość polskich hostingów, takich jak LH.pl, home.pl, IQ.pl czy Cyber_Folks, automatycznie instaluje Let's Encrypt dla każdej domeny. W praktyce oznacza to, że wchodząc do panelu hostingu, możesz włączyć SSL jednym kliknięciem lub jest już włączone domyślnie.

Jak sprawdzić, czy Twoja strona ma SSL

Sprawdzenie trwa dosłownie sekundy. Wejdź na swoją stronę i spójrz na pasek adresu w przeglądarce.

1. 01
   Otwórz stronę w przeglądarceWpisz adres swojej strony w Chrome, Firefox lub Edge.
2. 02
   Sprawdź pasek adresuJeśli widzisz kłódkę lub napis 'https://' przed adresem, SSL działa. Jeśli widzisz 'Niezabezpieczona' lub 'http://', certyfikatu brakuje.
3. 03
   Kliknij kłódkę dla szczegółówKlikając ikonę kłódki, zobaczysz szczegóły certyfikatu: dla kogo wystawiony, przez kogo i do kiedy ważny.
4. 04
   Sprawdź przekierowanieWpisz adres z 'http://' i sprawdź, czy przeglądarka automatycznie przekierowuje na 'https://'. Jeśli nie, przekierowanie wymaga ustawienia po stronie hostingu lub serwera.

Jeśli masz SSL, ale część zasobów strony ładuje się po HTTP, przeglądarka może nadal wyświetlać ostrzeżenie. Nazywa się to mieszaną zawartością (mixed content) i wymaga poprawki: wszystkie linki do obrazków, skryptów i arkuszy stylów muszą używać adresów z HTTPS.

Jak zainstalować certyfikat SSL krok po kroku

Instalacja SSL zależy od hostingu i technologii strony, ale w większości przypadków jest prosta.

1. 01
   Wejdź do panelu hostinguZaloguj się do panelu administracyjnego swojego hostingu, na przykład cPanel, DirectAdmin lub panelu własnego dostawcy.
2. 02
   Znajdź sekcję SSL lub CertyfikatyWiększość polskich hostingów ma dedykowaną sekcję 'SSL/TLS' lub 'Certyfikaty'. Tam znajdziesz opcję włączenia darmowego Let's Encrypt.
3. 03
   Włącz certyfikat dla domenyWybierz domenę i włącz certyfikat Let's Encrypt. Instalacja jest automatyczna i trwa od kilku sekund do kilku minut.
4. 04
   Ustaw przekierowanie HTTP na HTTPSWejdź na stronę po adresie z 'http://' i sprawdź, czy automatycznie przekierowuje na 'https://'. Jeśli nie, dodaj regułę przekierowania w pliku .htaccess (Apache) lub w konfiguracji serwera.
5. 05
   Zaktualizuj adresy w Google Search ConsoleJeśli masz zweryfikowaną stronę w Google Search Console, dodaj wersję HTTPS jako nową właściwość i ustaw ją jako preferowaną.

Jeśli Twoja strona działa na WordPressie, po włączeniu SSL warto zainstalować wtyczkę, która automatycznie podmienia wszystkie wewnętrzne linki z HTTP na HTTPS. Popularne wtyczki do tego celu to Really Simple SSL lub ręczna zmiana adresu strony w ustawieniach WordPressa.

SSL a sklep internetowy i formularze

Dla sklepów internetowych i stron z formularzami zbierającymi dane osobowe certyfikat SSL to nie tylko kwestia dobrej praktyki, ale też wymóg prawny. Rozporządzenie RODO nakłada obowiązek stosowania odpowiednich środków technicznych chroniących dane osobowe. Przesyłanie danych formularza przez niezaszyfrowane połączenie HTTP trudno uznać za spełnienie tego wymogu.

Bramki płatnicze takie jak Przelewy24, PayU czy Stripe wymagają HTTPS jako warunku technicznego integracji. Bez SSL sklep nie ma możliwości uruchomienia bezpiecznych płatności kartą.

SSL to fundament, nie cel sam w sobie

Certyfikat SSL rozwiązuje problem bezpieczeństwa i zaufania, ale sam w sobie nie przyciągnie klientów z wyszukiwarki. To warunek konieczny, nie wystarczający. Strona z SSL, która ma słabe treści, wolno się ładuje i nie jest zoptymalizowana pod słowa kluczowe, nie będzie widoczna w Google.

Dlatego SSL warto traktować jako jeden z elementów całościowej strategii. Do tego zestawu należą jeszcze szybkość strony, poprawna struktura techniczna, dobór słów kluczowych i regularne działania pozycjonujące. Jeśli chcesz, żeby klienci z Twojego miasta znajdowali Cię w Google, zajrzyj do artykułu jak wypozycjonować firmę lokalnie i sprawdź, jak działamy w Twoim mieście: Warszawa, Kraków, Wrocław, Poznań, Gdańsk.

Przy wyborze technologii strony, gdzie SSL jest jednym z wielu kryteriów bezpieczeństwa, przydatny jest też artykuł WordPress czy strona kodowana.

Najczęstsze pytania

Czy certyfikat SSL kosztuje pieniądze?

Nie musi. Darmowy certyfikat Let's Encrypt jest tak samo skuteczny jak płatny certyfikat DV i jest akceptowany przez wszystkie przeglądarki oraz przez Google. Większość polskich hostingów instaluje go automatycznie. Płatne certyfikaty OV i EV mają sens tylko dla banków i dużych instytucji finansowych, nie dla typowej strony firmowej.

Czy bez SSL moja strona nie będzie w Google?

Nie zniknie z Google, ale będzie rankować słabiej od konkurencji z HTTPS. Dodatkowo użytkownicy widząc ostrzeżenie "Niezabezpieczona" częściej opuszczają stronę, co podnosi bounce rate i pośrednio pogarsza pozycje. Brak SSL to kombinacja bezpośredniego osłabienia sygnału rankingowego i gorszych wskaźników zaangażowania. Więcej o tym, jak budować widoczność od podstaw, opisujemy w artykule co to są słowa kluczowe i jak je dobierać.

Certyfikat SSL wygasł, co teraz?

Wygaśnięcie certyfikatu powoduje, że przeglądarka blokuje dostęp do strony i wyświetla pełnoekranowe ostrzeżenie. Użytkownicy nie mogą wejść bez akceptacji ryzyka. Trzeba jak najszybciej odnowić certyfikat przez panel hostingu. Let's Encrypt odnawia się automatycznie co 90 dni, jeśli autoodnowienie jest poprawnie skonfigurowane. Warto co jakiś czas sprawdzić datę ważności certyfikatu w ustawieniach hostingu.

Czy SSL wystarczy, żeby strona była bezpieczna?

SSL szyfruje komunikację między przeglądarką a serwerem, ale nie chroni przed wszystkimi zagrożeniami. Strona z SSL może nadal mieć luki w kodzie, nieaktualne wtyczki (zwłaszcza w WordPressie) albo słabe hasło administratora. SSL to jeden element bezpieczeństwa. Obok niego ważne są regularne aktualizacje, silne hasła i dobry hosting z zaporą sieciową.