Certyfikaty SSL są ważniejsze, niż myślisz. Kiedy dokonujesz płatności w internecie, albo podajesz Twoje dane osobowe, zapisując się na newsletter – praktycznie w każdym z tych wypadków wolisz, żeby Twoje dane pozostały poufne, prawda?

Z tego wpisu dowiesz się:

  • Co to jest certyfikat SSL?
  • Jak działa certyfikat SSL?
  • Czym różnią się certyfikaty ssl darmowe od płatnych?

Aktualizacja 2023

Obejrzyj przygotowany przez nas filmik i dowiedz się, jak zainstalować certyfikat SSL.

Jak certyfikaty SSL pomagają w takim wypadku?

Janek łączy się z siecią i składa zamówienie. Janek też oczywiście chce, aby jego dane pozostały poufne. Dane są wysyłane na serwer – do firmy hostingowej obsługującej stronę, aby jej właściciel mógł zrealizować zamówienie.

Gdyby transmisja między przeglądarką i serwerem została przechwycona, można je łatwo odczytać! Chodzi o to, że w warstwie transmisji danych – wymiana informacji może zostać podsłuchana – np. poprzez niezabezpieczoną sieć wi-fi. Jeśli dane są przesyłane jawnie – atakujący może poznać ich treść tylko na podstawie analizy transmisji. Teoretycznie może zatem poznać wszystkie poufne informacje, które Janek wysyła do serwera.

Kiedy stosujesz certyfikat SSLSSL (Secure Sockets Layer) to protokół kryptograficzny, który zapewnia bezpieczne połączenie między użytkownikiem a serwerem, chroniąc dane przesyłane przez internet. SSL jest najczęściej używany do zabezpieczania połączeń na stronach internetowych, zwłaszcza tych, które wymagają podania danych osobowych, takich jak loginy, hasła czy informacje o płatnościach. SSL jest niezbędny na każdej stronie internetowej, na której użytkownicy przesyłają dane wrażliwe, na przykład w sklepie internetowym czy podczas rejestracji na stronie. Aby wdrożyć...Czym jest SSL? – dane są zaszyfrowane jeszcze w przeglądarce. Dane zostają zaszyfrowane jeszcze w Twoim urządzeniu (telefon, komputer itp.) i dopiero w takiej postaci są przesyłane na serwer. Przechwycenie takiej transmisji nie daje atakującemu wglądu w dane.

Certyfikaty SSL potwierdzają tożsamość, ale jak?

Szyfrowanie to najbardziej znana zaleta certyfikatów SSL, ale nie jedyna. Drugą, nie mniej istotną, jest potwierdzenie tożsamości właściciela domeny, na którą certyfikat jest wystawiony.

Z tego punktu widzenia certyfikaty istotnie różnią się poziomem wiarygodności takiego potwierdzenia – mówi się w tym kontekście o metodzie walidacji.

Certyfikaty SSL DV

Wiarygodność
Cena

DV – Domain Validation. Ten typ certyfikatu oznacza walidację wg domeny. Wiarygodność takiego certyfikatu należy ocenić jako niską, ponieważ zakłada ona jedynie, że osoba, która generuje certyfikat, ma dostęp do skrzynki mailowej w postaci admin@nazwadomenowa.pl lub ma możliwość potwierdzenia swojego uprawnienia do domeny, poprzez wgranie odpowiedniego pliku na serwer, do folderu domeny.

Certyfikat tego rodzaju potwierdza tylko tyle, że został wygenerowany dla danej nazwy domenowej. Certyfikat nie podaje informacji o właścicielu domeny. Zdarza się, że ktoś rejestruje domenę łudząco podobną do innej i generuje certyfikat SSL dla niej.

Ponieważ przeglądarka potwierdza, że dana domena jest chroniona – łatwo może uśpić to czujność użytkowników i spotkałem w sieci doniesienia o tym, że strony wyłudzające dane (np. łudząco podobne do bankowych) były chronione certyfikatem zakładającym taką właśnie walidację, więc przeglądarki traktowały je jako chronione SSL’em. Usypiało to czujność osób, które nieświadome oszustwa, podawały swoje dane logowania na takiej właśnie stronie, a w rzeczywistości była to niezabezpieczna strona.

Samo szyfrowanie danych działa natomiast równie dobrze, jak dla wyższych poziomów walidacji. W zakresie przesyłu danych między serwerem i przeglądarką transmisję chronioną SSL’em możesz uznać za poufną i dobrze chronioną.

Certyfikaty SSL OV

Wiarygodność
Cena

OV – ang. Organization Validation. Ten typ certyfikacji zapewnia lepszy poziom potwierdzenia tożsamości właściciela. Dzieje się tak, ponieważ w procesie walidacji domeny sprawdzane są dane identyfikacyjne właściciela wraz z oficjalnymi rejestrami. Przykładowo – nazwa spółki, na którą certyfikat jest wystawiany, musi być zgodna z nazwą figurującą w Krajowym Rejestrze Sądowym.

Taka procedura utrudnia oszustwa – żeby takowego dokonać, niezbędne byłoby posiadanie zarejestrowanej nazwy łudząco podobnej do nazwy „atakowanej” – zatem ochrona swojej marki przy pomocy takiego certyfikatu jest lepsza niż w wypadku prostego DV.

Ochrona poufności jest natomiast identyczna – typ walidacji nie ma bezpośredniego przełożenia na działanie algorytmu szyfrującego dane.

Certyfikaty SSL EV

Wiarygodność
Cena

EV – ang. Extended Validation. W tym wypadku procedura jest najbardziej złożona. Jej szczegóły zależą od wystawcy certyfikatu i nierzadko wymagają np. przesłania umowy spółki dla potwierdzenia tożsamości wnioskodawcy. Powoduje to, że czas i koszty uzyskania tego rodzaju certyfikatu są najwyższe. Równocześnie ten certyfikat stanowi też najbardziej wiarygodne potwierdzenie, że jesteś na właściwej stronie, a nie „podróbce”.

W wypadku tych certyfikatów suma gwarancyjna jest też najwyższa.

Niektóre przeglądarki internetowe „nagradzają” strony chronione tym rodzaju certyfikatu, podając zielony pasek w adresie. Świadczy o najwyższym poziomie zaufania do danej strony.

Certyfikaty SSL – o co chodzi z gwarancjami?

Komercyjne certyfikaty zazwyczaj zapewniają ochronę poprzez mechanizm sumy gwarancyjnej. Jest to kwota, którą wystawca danego certyfikatu (np. Comodo, Certum itp) wypłaca w razie, kiedy Twój użytkownik np. dokona transakcji na stronie zabezpieczonej takim certyfikatem wystawionym na Twoje dane, ale na stronie oszusta – po szczegółowe zasady warto sięgnąć do regulaminów poszczególnych dostawców.

Warto wiedzieć, że w większości wypadków suma gwarancyjna waha się od 10.000 do 100.000 USD. Nie oznacza to jednak, że w razie „złamania” certyfikatu otrzymasz dokładnie taką kwotę. Zazwyczaj mówimy tu o kwotach dla użytkowników końcowych, którzy skutkiem np. nieprawidłowości w procesie certyfikacji po stronie wystawcy, zostaliby wprowadzeni w błąd co do właściciela strony, dokonali na niej zakupu, a ponieważ strona tylko podszywałaby się pod Twój sklep internetowy – nie otrzymaliby towaru i jedynie stracili pieniądze.

Mechanizm gwarancji polega wówczas na zwrocie poniesionych strat dla użytkownika końcowego, do wysokości sumy gwarancyjnej.

Nie są opisane przypadki korzystania z takiej gwarancji u żadnego dużego wystawcy, w naszej firmie też nigdy nie zanotowaliśmy tego rodzaju sytuacji. Z pewnością jednak gwarancje, które występują wyłącznie w wypadku certyfikatów komercyjnych – stanowią dodatkowy atut, przemawiający za wyborem tej formy zabezpieczenia strony.

Gwarancje te nie występują natomiast w wypadku certyfikatów Let’s Encrypt.

Gwarancja różnicuje certyfikaty SSL

Istnienie mechanizmu gwarancyjnego to jeden z czynników różnicujących certyfikaty komercyjne od certyfikatów bezpłatnych. Sumy gwarancyjne mogą być także różne w różnych markach certyfikatów, nawet w ramach tego samo poziomu walidacji.

Certyfikaty SSL – komercyjne vs Let’s Encrypt?

Wiarygodność
Cena

Jeszcze kilka late temu na rynku były wyłącznie certyfikaty komercyjne, od 2-3 lat obserwujemy natomiast wzrost popularności certyfikatów Let’s Encrypt.

Są to certyfikaty darmowe, co stanowi ich główną zaletę. Szyfrują dane równie skutecznie, jak certyfikaty komercyjne. Niestety – mają też wady. Najważniejsze, to:

  • Certyfikat Let’s Encrypt jest wystawiany raz na 3 miesiące i trzeba go później odnawiać – chyba, że hosting wspiera automatyzację tego procesu.
  • Certyfikat Let’s Encrypt opiera się na prostej walidacji DV, więc najsłabszej możliwej.
  • Certyfikat Let’s Encrypt nie oferuje żadnej sumy gwarancyjnej.

W wypadku naszego hostingu obsługa tych certyfikatów jest „wbudowana” w panel DirectAdminObejrzyj przygotowany przez nas poradnik w formie filmu i dowiedz się, jak dodać domenę do panelu DirectAdmin. https://www.youtube.com/watch?v=YLbU5XZ8Kkk DirectAdmin to jeden z popularniejszych paneli administracyjnych wykorzystywanych do zarządzania hostingiem internetowym. Dzięki niemu, nawet osoby nieposiadające głębokiej wiedzy technicznej mogą łatwo administrować swoją stroną internetową, kontami e-mail, bazami danych oraz wieloma innymi aspektami hostingu. Jest to szczególnie ważne dla właścicieli małych firm, którzy chcą skupić się na rozwijaniu np. swojego sklepu internetowego zamiast...Czym jest DirectAdmin?. Warto wiedzieć, że LE może działać jak każdy inny certyfikat, ale bez odpowiedniego wsparcia po stronie dostawcy hostingu niezbędne jest jego ręczne generowanie, odnawianie i instalowanie co trzy miesiące, co dodatkowo zniechęca.

Certyfikat SSL nie chroni przed wszystkim!

Pamiętaj, że istnieje wiele zagrożeń, przed którymi SSL nie chroni. Stosowanie certyfikatu w żaden sposób nie chroni przed:

  • wykradzeniem informacji z serwera (tu stosuj szyfrowanie baz),
  • wykradzeniem informacji z Twojego komputera (tu pomoże zdrowy rozsądek, hasła, antywirusy),
  • naruszeniami w zakresie zakresu zgody na wykorzystanie przesyłanych danych przez operatora serwisu,
  • rejestracją łudząco podobnej nazwy domenowej, ochronieniem jej innym certyfikatem SSL i udawaniem, że to prawdziwa strona. Oszustwo takie wyjdzie na jaw kiedy ktoś sprawdzi dane certyfikatu (na kogo został wystawiony), ale większość osób po prostu tego nie sprawdza.

W tym miejscu warto wskazać na obszerny artykuł na temat zagrożeń dla domen, które występują pomimo stosowania certyfikatów SSL.

Certyfikaty SSL wg liczby i zakresu domen

Certyfikaty można podzielić także ze względu na liczbę chronionych adresów, rozpatrując liczbę domen oraz „zasięg” ochrony w obrębie domeny.

TypZakres ochrony
Single domainTen typ certyfikatu chroni po prostu JEDEN adres, najczęściej z uwzględnieniem „www.” z przodu. Chroni także wszystko to, co będzie po ukośniku. Nie chroni natomiast subomen. Przykładowy zakres ochrony:
sklep.pl
www.sklep.pl
sklep.pl/logowanie
WildcardTen certyfikat chroni wszystkie subdomeny pierwszego poziomu. Nie zabezpiecza natomiast dalszych subdomen. Będzie zatem chronić adresy typu:
buty.sklep.pl
torebki.sklep.pl
logowanie.sklep.pl
MultidomainKupiony certyfikat może chronić wiele różnych nazw domenowych, co jest bardziej efektywne kosztowo, niż kupowanie wielu osobnych certyfikatów dla każdej domeny osobno. Jest to jednak liczba skończona, zazwyczaj mówimy o 10-20 domenach. Przykłady:
sklepzbutami.pl
sklepztorebkami.pl

Warto zwrócić uwagę, że niektóre certyfikaty obejmują możliwość instalacji tylko na jednym serwerze, a inne na wielu serwerach. Instalacja na wielu serwerach ma sens, jeśli zasoby chronionej domeny są rozrzucone na różne maszyny z różnymi adresami IP.

Przykładowo strefaklienta.domeny.pl i strefapracownika.domeny.pl to dwie różne subdomeny tej samej domeny. Jeśli są one skierowane na różne serwery. Chcąc chronić je jednym certyfikatem trzeba upewnić się, że można z niego korzystać na wielu serwerach.

Certyfikaty SSL – dlaczego warto?

Podsumujmy, dlaczego warto korzystać z certyfikacji SSL:

  • Ochrona danych między przeglądarką użytkownika, a serwerem
  • Większa wiarygodność strony (więcej konwersji)
  • Posiadanie certyfikatu SSL sprzyja osiąganiu wyższych pozycji w Google. Trudno dziś osiągnąć wysokie wyniki bez SSL’a.
  • Certyfikaty SSL zmniejszają podatność strony na phishing (atak polegający na podstawieniu użytkownikom kopii strony łudząco podobnej do Twojej w celu wyłudzenia np. danych do logowania).
  • Brak certyfikatu SSL powoduje uznanie strony na niezabezpieczoną przez przeglądarki internetowe, oznaczające adres w sposób od razu budzący niepokój u osób odwiedzających stronę.
Artur Pajkert z kubkiem cyber_Folks
>
Artur Pajkert
Od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki.

10 odpowiedzi do "Certyfikaty SSL – na czym to polega? Rodzaje certyfikatów SSL."

  1. Dzisiaj już większość rynku korzysta z darmowego ssl’a Let’s Encrypt 🙂

  2. webdominator pisze:

    Dobry art aczkolwiek w przypadku stron na których nie odbywa się sprzedaż można śmiało zastosować cloudflare flexible ssl i zielona kłódeczka „siedzi” 😉

  3. Daniel pisze:

    Darmowy SSL Let’s Encrypt jest zupełnie wystarczający dla bloga i dla małego sklepu.

    1. Artur Pajkert pisze:

      Można spotkać opinie, że wysokie poziomy walidacji sprzyjają przekonaniu Google, że naprawdę zależy Ci na Twojej stronie i jest ona wartościowa. Taką spotkałem np. w 7 odcinku podcastu „Niezłe aparaty” (autor tej wypowiedzi Tom Robak). Inni jednak uważają, że wystarczy posiadanie jakiegokolwiek certyfikatu SSL. Przy blogu, podobnie jak Ty, wybrałbym LE, ale gdybym miał sklep – to wolałbym mieć certyfikat komercyjny.

  4. fit pisze:

    ciekawe czy jest jakakolwiek różnica s SERPACH przy róznych certyfikatach

    1. Artur Pajkert pisze:

      To ciekawe zagadnienie. Nie znalazłem na ten temat „twardego” badania, ale niektórzy specjaliści SEO, jak Tom Robak, są zdania, że SSL’e o większej wiarygodności, głównie EV, stanowią dla Google sygnał, że poważnie podchodzisz do Twojej strony. Skoro Ty sam poważniej traktujesz stronę, to, zdaniem Toma, masz szansę, że będzie to skutkować lepszą opinią. Więcej znajdziesz w 7. odcinku podcastu „Niezłe aparaty”, poświęconym właśnie zagadnieniom SEO. Tego stanowiska nie udało mi się jednak potwierdzić w żadnych badaniach. Większość specjalistów SEO jest natomiast zgodna co do tego, że połączenie zestawione po HTTPS jest bardzo ważne, a jego brak będzie negatywnie oceniony przez wyszukiwarkę.

  5. Darmowy certyfikat jest zbawieniem dla mojej strony, a właściwie wizytówki firmy. Bardzo dziękuję.

    1. Artur Pajkert pisze:

      Tylko pamiętaj, że darmowy Let’s Encrypt zapewnia wprawdzie szyfrowanie, ale nie daje aż takiego poziomu wiarygodności. Dla „wizytówki” jest natomiast w pełni ok!

  6. B468 pisze:

    Jestem zwolennikiem płatnych certyfikatów, ale zachowuję rozsądek i stosuję je w przypadku stron, gdzie ogólnie rzecz mówiąc klient podaje jakieś swoje dane. Nie widzę sensu w przypadku stosowania ssla do prostej strony, która nie zawiera nawet interakcji z użytkownikiem w postaci formularza 🙂

  7. Mosos pisze:

    Certyfikat komercyjny ma ten sam poziom szyfrowania, więc droższy nie oznacza lepszy. A różnica jest w naszej głowie, ponieważ większość uważa, że jak zapłaci więcej to otrzyma coś lepszego.. 🙂 a to jest błędne myślenie.

Dodaj komentarz

Twój adres e-mail nie będzie opublikowany.

Polecane dla Ciebie

Szukasz dalej?

Przeglądaj wg dat
  • Przeglądaj wg dat
  • luty 2025
  • styczeń 2025
  • grudzień 2024
  • listopad 2024
  • październik 2024
  • wrzesień 2024
  • sierpień 2024
  • lipiec 2024
  • czerwiec 2024
  • maj 2024
  • kwiecień 2024
  • marzec 2024
  • luty 2024
  • styczeń 2024
  • grudzień 2023
  • listopad 2023
  • październik 2023
  • wrzesień 2023
  • sierpień 2023
  • lipiec 2023
  • czerwiec 2023
  • maj 2023
  • kwiecień 2023
  • marzec 2023
  • luty 2023
  • styczeń 2023
  • grudzień 2022
  • listopad 2022
  • październik 2022
  • wrzesień 2022
  • sierpień 2022
  • lipiec 2022
  • czerwiec 2022
  • maj 2022
  • kwiecień 2022
  • marzec 2022
  • luty 2022
  • styczeń 2022
  • grudzień 2021
  • listopad 2021
  • październik 2021
  • wrzesień 2021
  • sierpień 2021
  • lipiec 2021
  • czerwiec 2021
  • maj 2021
  • kwiecień 2021
  • marzec 2021
  • luty 2021
  • styczeń 2021
  • grudzień 2020
  • listopad 2020
  • październik 2020
  • wrzesień 2020
  • sierpień 2020
  • lipiec 2020
  • czerwiec 2020
  • maj 2020
  • kwiecień 2020
  • marzec 2020
  • luty 2020
  • styczeń 2020
  • grudzień 2019
  • listopad 2019
  • październik 2019
  • wrzesień 2019
  • sierpień 2019
  • lipiec 2019
  • czerwiec 2019
  • maj 2019
  • kwiecień 2019
  • marzec 2019
  • styczeń 2019
  • grudzień 2018
  • listopad 2018
  • październik 2018
  • sierpień 2018
  • lipiec 2018
  • maj 2018
  • kwiecień 2018
  • marzec 2018
  • styczeń 2018
  • grudzień 2017
  • październik 2017
  • czerwiec 2017
  • kwiecień 2017
  • marzec 2017
  • luty 2017
  • styczeń 2017
  • grudzień 2016
  • listopad 2016
  • październik 2016
  • wrzesień 2016
  • sierpień 2016
  • lipiec 2016
  • czerwiec 2016
  • maj 2016
  • kwiecień 2016
  • marzec 2016
  • lipiec 2015
  • maj 2015
  • grudzień 2014
  • sierpień 2014
  • lipiec 2014
  • czerwiec 2014
  • kwiecień 2014