Czy certyfikat SSL jest naprawdę potrzebny na stronie internetowej?
Kilka tygodni temu zadzwonił do mnie klient prowadzący kancelarię prawną w Gdańsku. Poprosił o ofertę modernizacji strony internetowej z 2007 roku. Po wstępnej rozmowie i serwera okazało się, jego obecna firma hostingowa namawiała go na wykupienie certyfikatu SSL za 399 zł rocznie. „Panie Mateuszu, czy to naprawdę konieczne? Co to nam tak na serio daje?" - zapytał.
To pytanie słyszę regularnie. Dlatego postanowiłem napisać ten artykuł i wyjaśnić, czym jest SSL, dlaczego jest niezbędny i - co najważniejsze - dlaczego nie warto za niego przepłacać.
Czym właściwie jest certyfikat SSL?
SSL (Secure Sockets Layer) to protokół szyfrujący połączenie między przeglądarką użytkownika a serwerem, na którym znajduje się strona. W praktyce oznacza to, że wszystkie dane przesyłane między odwiedzającym a stroną są zaszyfrowane i niemożliwe do przechwycenia przez osoby trzecie.
Strony z aktywnym certyfikatem SSL rozpoznasz po adresie zaczynającym się od https:// (zamiast http://) oraz ikonie kłódki w pasku adresu przeglądarki.
Dlaczego SSL jest dziś obowiązkowy?
Bezpieczeństwo danych użytkowników
Jeśli Twoja strona posiada formularz kontaktowy, system logowania lub jakiekolwiek pole, w którym użytkownik wpisuje dane - SSL chroni te informacje przed przechwyceniem. Dotyczy to nawet prostego formularza z imieniem i adresem e-mail.
Wymagania przeglądarek
Od 2018 roku Google Chrome (a za nim pozostałe przeglądarki) oznacza strony bez SSL jako „Niezabezpieczone". Wyobraź sobie, że potencjalny klient wchodzi na stronę Twojej firmy i widzi ostrzeżenie o braku bezpieczeństwa. Jakie zrobi to wrażenie? Pisałem nawet do kilku takich firm (prawdopodobnie nieświadomych istnienia ostrzeżenia), z przyjacielskim ostrzeżeniem, ale niestety bez odzewu.
Pozycjonowanie w Google
Google oficjalnie potwierdził, że SSL jest czynnikiem rankingowym. Strony z HTTPS mają przewagę w wynikach wyszukiwania nad stronami bez certyfikatu. Dla lokalnego biznesu w Trójmieście może to oznaczać różnicę między pierwszą a drugą stroną wyników.
Wymogi prawne RODO
RODO wymaga stosowania odpowiednich środków technicznych do ochrony danych osobowych. Brak SSL na stronie zbierającej dane może być uznany za naruszenie tych przepisów.
Rodzaje certyfikatów SSL — i dlaczego różnice nie mają znaczenia dla większości stron
Na rynku dostępne są trzy typy certyfikatów:
DV (Domain Validation) - weryfikuje tylko własność domeny. Wydawany automatycznie w kilka minut. Zapewnia pełne szyfrowanie połączenia.
OV (Organization Validation) - dodatkowo weryfikuje dane firmy. Wymaga przesłania dokumentów, wydawany w ciągu kilku dni.
EV (Extended Validation) - najdroższa opcja z rozszerzoną weryfikacją. Kiedyś wyróżniał się zielonym paskiem w przeglądarce, ale od 2019 roku przeglądarki zrezygnowały z tego wyróżnienia.
Kluczowa informacja, którą pomijają sprzedawcy drogich certyfikatów
Poziom szyfrowania jest identyczny we wszystkich typach certyfikatów.
Certyfikat DV za 0 zł szyfruje dane dokładnie tak samo skutecznie jak certyfikat EV za 1500 zł rocznie. Różnica dotyczy wyłącznie procesu weryfikacji właściciela - nie poziomu bezpieczeństwa.
Dla strony firmowej, wizytówki kancelarii prawnej, gabinetu lekarskiego czy biura rachunkowego certyfikat DV jest całkowicie wystarczający. Droższe opcje mają sens tylko dla banków, dużych sklepów internetowych lub instytucji, gdzie rozszerzona weryfikacja tożsamości firmy buduje dodatkowe zaufanie.
Darmowy Let's Encrypt kontra płatne certyfikaty
Let's Encrypt to bezpłatny certyfikat typu DV, wydawany przez organizację non-profit wspieraną m.in. przez Mozilla Foundation, Google i Facebook. Od 2016 roku wystawił już ponad 3 miliardy certyfikatów i jest używany przez ponad 300 milionów stron na całym świecie.
| Cecha | Let's Encrypt (darmowy) | Płatny certyfikat DV |
|---|---|---|
| Poziom szyfrowania | 256-bit | 256-bit |
| Ważność | 90 dni (automatyczne odnowienie) | 1 rok |
| Koszt roczny | 0 zł | 50–300 zł |
| Rozpoznawalność przez przeglądarki | 100% | 100% |
| Gwarancja finansowa | Brak | Tak (rzadko wykorzystywana) |
Jedyna realna różnica to gwarancja finansowa oferowana przy płatnych certyfikatach - ale przez 20 lat pracy w branży osobiście nie spotkałem się z przypadkiem jej wykorzystania. To trochę jak ubezpieczenie od upadku meteorytu.
Kiedy warto zapłacić za certyfikat SSL?
Płatny certyfikat OV lub EV może mieć sens, gdy:
- prowadzisz sklep internetowy z dużym obrotem
- przetwarzasz wrażliwe dane finansowe lub medyczne
- Twoi klienci (np. korporacje) wymagają rozszerzonej weryfikacji
- potrzebujesz certyfikatu wildcard dla wielu subdomen
Dla 95% stron firmowych, gabinetów, kancelarii i małych firm - darmowy Let's Encrypt w zupełności wystarczy.
Na co zwrócić uwagę przy wyborze hostingu?
Nie wszystkie firmy hostingowe oferują Let's Encrypt. Niektóre celowo go pomijają, aby sprzedawać płatne certyfikaty. Przy wyborze hostingu sprawdź, czy Let's Encrypt jest dostępny i darmowy, czy odnowienie certyfikatu jest automatyczne oraz czy instalacja wymaga dodatkowych opłat. Czasem zdarza się tak, że certyfikat faktycznie jest dostepny ale co 90 dni trzeba go ręcznie instalować.
Dobra praktyka: Firma SEOHOST udostępnia certyfikaty Let's Encrypt za darmo na wszystkich pakietach hostingowych, z automatycznym odnowieniem co 90 dni. To rozwiązanie, które polecam moim klientom - brak ukrytych kosztów, brak konieczności pamiętania o odnowieniu, pełne bezpieczeństwo.
Podsumowanie
Certyfikat SSL jest dziś absolutnie niezbędny dla każdej strony internetowej - nie tylko ze względów bezpieczeństwa, ale także dla pozycjonowania i wiarygodności w oczach klientów.
Jednocześnie nie ma powodu, aby przepłacać. Darmowy certyfikat Let's Encrypt oferuje identyczny poziom szyfrowania co płatne alternatywy i jest wystarczający dla zdecydowanej większości stron firmowych.
Jeśli Twoja obecna firma hostingowa nie oferuje Let's Encrypt lub nalicza dodatkowe opłaty za SSL - warto rozważyć zmianę dostawcy lub negocjować umowę.
Masz pytania dotyczące SSL lub bezpieczeństwa Twojej strony? Skontaktuj się ze mną — chętnie pomogę.