Certyfikat SSL w sklepie internetowym jest czymś, o czym nie można zapomnieć. Jego brak to nie tylko mniejsze poczucie bezpieczeństwa naszych klientów, ale także niższy ranking w przeglądarce Google. Jeśli nie masz certyfikatu SSL, to raczej licz się z tym, że odwiedzającym stronę internautom wyświetli się informacja: „Ta witryna jest niezabezpieczona”, co w przypadku e-sklepu zrujnuje konwersje. To dlatego temat jest ważny.
Z tekstu dowiesz się między innymi:
- Jakie certyfikaty SSL rozróżniamy?
- Jaki certyfikat wybrać do e-sklepu?
- Dlaczego posiadanie certyfikatu SSL jest tak ważne?
Czym tak naprawdę jest SSL
W 1994 roku przedsiębiorstwo Netscape stworzyło protokół o nazwie Secure Sockets Layer, który miał na celu zabezpieczenie transmisji danych.
W 1994 roku przedsiębiorstwo Netscape stworzyło protokół o nazwie Secure Sockets Layer, który miał na celu zabezpieczenie transmisji danych. Przez kolejne lata technologia zabezpieczeń rozwijała się, a certyfikaty stały się coraz bezpieczniejsze i coraz bardziej powszechne. Dane, które chroni SSL są zabezpieczone kryptograficznie. Jak to działa?
Załóżmy, że klient kupuje coś w naszym sklepie. Gdy nie mamy certyfikatu, transmisja pomiędzy przeglądarką internetową klienta a serwerem sklepu może zostać „przejęta”, a przesyłane dane, które w tym przypadku są jawne, np. dane karty kredytowej, mogą zostać skradzione.
W chwili, gdy korzystamy z certyfikatu dane zostają zaszyfrowane jeszcze w przeglądarce, na urządzeniu kupującego i dopiero w taki, zakodowany sposób są przekazywane do serwera. Konieczność odszyfrowania treści utrudnia kradzież danych.
Certyfikat SSL a pozycja w Google
Rezygnacja z instalacji certyfikatu, np. dlatego, że chcemy oszczędzić rocznie sto złotych lub więcej, to błąd. Chodzi tu nie tylko o bezpieczeństwo, ale także o widoczność naszego sklepu w wyszukiwarce.
Posiadanie ważnego certyfikatu jest jednym z czynników rankingowych. Od dawna wiadomo, że Google bardziej promuje strony i sklepy internetowe, które są wyposażone w certyfikat SSL. Ba, Google Chrome, czyli najpopularniejsza przeglądarka internetowa, także „piętnuje” serwisy, które pozbawione są tego certyfikatu.
Specjaliści od SEO są raczej zgodni co to tego, że certyfikat to dziś konieczność. Istnieją jednak podzielone zdania na temat rodzaju certyfikatu SSL – rodzaje certyfikatów przedstawię dalej.
Certyfikat SSL – jaki wybrać dla sklepu internetowego?
Certyfikaty możemy podzielić na kilka kategorii. Trzeba pamiętać, że poza szyfrowaniem mają one jeszcze jedną ważną zaletę, a mianowicie potwierdzają tożsamość właściciela domeny.
Certyfikaty istotnie różnią się poziomem wiarygodności takiego potwierdzenia – mówi się w tym kontekście o metodzie walidacji. Z tego punktu widzenia rozróżniamy następujące rodzaje certyfikatów
Certyfikat DV
Najprostsza walidacja, „normalny” pasek adresowy w przeglądarce.
Certyfikat OV
Umiarkowana wiarygodność walidacji. „Normalny” pasek w przeglądarce.
Certyfikat EV
Najwyższa dostępna wiarygodność procedury walidacyjnej. Wyróżnienie zielonym paskiem w wielu przeglądarkach.
DV ‒ Domain Validation.
To chyba najpopularniejsza forma zabezpieczenia domeny. Przy weryfikacji podaje się jedynie nazwę domeny, nie musimy podawać nazwy firmy, będącej jej właścicielem. Jej koszt to kilkadziesiąt złotych, a podczas rejestracji należy mieć dostęp do skrzynki admina w domenie, do której będziemy instalować certyfikat. Chociaż nie jest to certyfikat o najwyższej wiarygodności, to samo szyfrowanie działa równie dobrze, jak przy certyfikatach wyższych poziomów. DV to dobre rozwiązanie dla początkujących ebiznesów.
OV ‒ Organization Validation.
Certyfikat, który zapewnia wysoki poziom bezpieczeństwa. Do weryfikacji/rejestracji potrzebujemy nie tylko nazwy domeny, ale także danych firmy wnioskującej, co utrudnia oszustwa. Cechą charakterystyczną certyfikatu jest pieczęć bezpieczeństwa, która prezentuje się na ogół w postaci symbolu kłódki. Stosowanie tego rodzaju certyfikatu zaleca się średnim sklepom internetowym. Cena takiego rozwiązania może wynosić kilkaset złotych. Szyfrowanie odbywa się w podobny sposób, jak przy pozostałych certyfikatach.
EV ‒ Extended Validation.
Jest to certyfikat o największej wiarygodności, ponieważ wnioskodawca musi potwierdzić swoją tożsamość, np. poprzez przesłanie dostawcy usługi umowy spółki. Niestety, odbija się to na cenie i czasie, jaki jest potrzebny na wdrożenie rozwiązania. Jednocześnie ten certyfikat stanowi też najbardziej wiarygodne potwierdzenie, że odwiedzający trafił na właściwą stronę, a nie jej „podróbkę”. Na pasku z adresem URL domeny pojawia się zielone oznaczenie. Strona i firma przechodzą szczegółową weryfikację. Ceny tego typu certyfikatów mogą dojść do kilku tysięcy złotych. Ten rodzaj zabezpieczenia stosuje się głównie w dużych sklepach internetowych i bankach.
Na moment pisania tego artykułu z tego zabezpieczenia korzystały m.in. takie serwisy, jak Allegro czy Zalando, a więc marki związane z e-commerce, które z pewnością możemy uznać za wiarygodne:
Tak wygląda informacja o certyfikacie SSL dla Allegro
Tak wygląda informacja o certyfikacie SSL dla Zalando
Informację o certyfikacie SSL i jego szczegółach możesz uzyskać klikając w ikonę z kłódką w pasku adresowym.
Certyfikaty SSL Let’s Encrypt
Warto na koniec wspomnieć jeszcze o certyfikatach Let’s Encrypt, czyli rozwiązaniach darmowych. Do ich zalet, poza tym, że są one darmowe, możemy zaliczyć to, że certyfikaty te szyfrują dane tak samo dobrze, jak ich komercyjne odpowiedniki. Niestety mają one też wady, do których zaliczymy:
- konieczność odnawiania certyfikatu co 3 miesiące ‒ niektóre hostingi robią to automatycznie, inne nie,
- to, że Let’s Encrypt opiera się na prostej walidacji DV,
- to, że nie oferuje on żadnej sumy gwarancyjnej, więc gdyby zawiódł, nie możemy oczekiwać odszkodowania od jego twórców.
Certyfikat SSL i gwarancje
Komercyjne certyfikaty SSL zapewniają gwarancję, czyli oferują odszkodowanie, kiedy klient kupi coś na naszej stronie chronionej certyfikatem i straci podczas płatności pieniądze. W większości wypadków suma gwarancyjna waha się od 10.000 do 100.000 USD. Mechanizm wypłaty odszkodowania polega przeważnie na zwrocie strat poniesionych przez użytkownika końcowego, do wysokości sumy gwarancyjnej.
Przed czym nie chroni certyfikat SSL?
Trzeba pamiętać, że żaden z certyfikatów nie zabezpieczy nas przed kradzieżą danych z naszego serwera. Aby spać spokojnie skorzystajmy w tym celu z szyfrowania baz danych. SSL nie zabezpiecza nas też przed włamaniem do naszego komputera, wykradzeniem zapisanych haseł z przeglądarek itp.
W tym przypadku na pomoc przychodzą antywirusy, odpowiednie hasła, zabezpieczenia. SSL nie zapewnia też ochrony przed rejestracją domen łudząco do naszej podobnych i podszywaniem się pod nasz sklep. Tu warto pomyśleć o zabezpieczeniu się poprzez wykupienie domen podobnie brzmiących, mających inne końcówki np. eu, org, net itd.
Dlaczego warto wybrać certyfikat SSL dla e-sklepu?
Możemy mówić o kilku najważniejszych zaletach posiadania tego typu zabezpieczenia. Są to:
- ochrona danych klienta na linii przeglądarka użytkownika ‒ serwer e-sklepu,
- wzbudzenie wiarygodności strony, co może przełożyć się na konwersję,
- poprawienie rankingu w Google, co docelowo również może przełożyć się na wskaźnik konwersji,
- brak budzącego niepokój klientów oznaczenia naszej strony przez przeglądarkę jako niebezpiecznej,
- wzbudzenie zaufania wśród osób kupujących.
Jak często odnawia się certyfikat?
Wszystko zależne jest od tego, na jaki okres wykupujemy usługę. Najkrótszy to dwanaście miesięcy, najdłuższy dziesięć lat. Oczywiście wszystko zależy od zasobności naszego portfela. Przeważnie dostawcy usługi informują nas o nadchodzącym terminie jej odnowienia.
Nawet największym markom zdarzało się zapomnieć o odnowieniu certyfikatu SSL – dotknęło to m.in. Microsoft i LinkedIn.
Warto nie pozostawiać tego na ostatnią chwilę i podobnie jak domenę, odnowić certyfikat kilka dni wcześniej. Chodzi przede wszystkim o to, że walidacja może wymagać od nas dodatkowych czynności, które mogą potrwać nawet kilka dni, a zanim ją przeprowadzimy, nasza strona pozbawiona będzie ochrony, przez co narażeni zostaną nasi klienci i pozycje w Google.
Certyfikat SSL dla sklepu – podsumowanie
Chociaż dla kupującego sama strona techniczna to często enigmatyczne zagadnienie, to jednak zielona kłódka oraz https:// przed nazwą strony dają poczucie bezpieczeństwa, które jest tak ważne podczas zakupów w internecie. Warto więc zainwestować w odpowiedni certyfikat dla naszego e-sklepu.
Jeśli prowadzisz duży sklep to rekomenduję certyfikat EV. W skali Twoich przychodów nie będzie to raczej istotny wydatek, a zdaniem niektórych specjalistów SEO będzie on lepiej sprzyjał Twojemu rankowaniu w Google.
Dla najmniejszych sklepów koszty takiego certyfikatu (co do rzędu, powiedzmy, ok. tysiąc zł rocznie) mogą być już odczuwalne – jeśli nie masz takiego budżetu, zacznij od tańszego certyfikatu z niższym poziomem walidacji, byle mieć jakikolwiek. Z pewnością odradzam Ci natomiast oszczędność polegającą na braku certyfikatu w ogóle.
W tym artykule, jakkolwiek odnoszącym się do bezpieczeństwa, ograniczam się do omówienia certyfikatów SSL, ale zwróć uwagę, że to nie jedyne zagrożenia, związane z Twoją nazwą domenową. We wpisie o bezpieczeństwie domen omawiam inne, równie ważne aspekty – warto tam zajrzeć!
Jeśli chcesz porozmawiać o tym wpisie, zapraszam do komentowania lub do bezpośredniego kontaktu ze mną, na przykład przez mój profil na LinkedIn.
Ze swojego doświadczenia, mogę dodać, że brak certyfikatu bardzo często przekłada się na słabe pozycje w wynikach wyszukiwania. Powinnismy zainwestować w możliwie najlepsze zabezpieczenie w pierwszej kolejności podczas prac optymalizacyjnych, szczególnie jeśli nasz konkurencja posiada certyfikat.
W dobie dzisiejszego Internetu, ciągłych ostrzeżeń z banków, wielu internautów zwraca uwagę na certyfikat i to ten najlepszy „zielony”. Ja właściwie już nigdzie nie podaję danych jak nie ma podpiętego SSL. Takie czasy, ale to dobrze. Czy to ma wpływ na pozycjonowanie, jak wskazał poprzednik .. raczej wątpię. Nikt oficjalnie tego nie potwierdził.
Ogólnie, że SSL jest czynnikiem rankingowym, to wiadomo OFICJALNIE od dawna. Tu chyba pierwsza oficjalna informacja o tym ze strony Google: https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html – Nie znalazłem natomiast potwierdzenia, że konkretny rodzaj certyfikatu SSL ma znaczenie, ciekawe, czy kiedyś zostanie to potwierdzone.
Przyjemnie opisane „rodzaje” certyfikatów, ja preferuję Let’s Encrypt, ale to wymaga więcej pracy, no i oczywiście najlepszy certyfikat miałby ważność > 2 lata 😉 Dla pozycjonowania stron, ssl raczej nie będzie kluczową kwestią – oczywiście „to zależy”, ale dobrze, że o tym wspominasz.
Teraz bez htpps to już prawie nie ma internetu jak są jakieś formularze do wypełniania. Praktycznie jest to obowiązek aby je mieć. pamiętam parę lat temu miało kto miał teraz mało kto nie ma.
Mega artykuł, bardzo przejrzyście napisany, bardzo dziekuje. Pozdrawiam.
Bezpieczeństwo użytkowników w sieci to dzisiaj podstawa i warto zainwestować choćby czas na przynajmniej darmowy SSL. Zadziwiający jest jednak fakt, jak wiele stron internetowych jest dziś projektowanych i oddawanych do użytku bez tego podstawowego zabezpieczenia. Świetny artykuł, pozdrawiam.
Certyfikat OV już jest całkiem OK dla sklepu, ponieważ posiada nazwę prezentowaną przy kłódeczce, co wg naszych statystyk, zdecydowanie zwiększa zaufanie do sklepu (nie sprawdzałem czy generalnie tak jest), a więc polecam ps.dla samego pozycjonowania sklepu sam certyfikat też się przydaje, mamy kilku klientów właśnie na Waszym hostingu, dzięki
Warto zaznaczyć że certyfikat SSL nie jest czynnikiem rankingowym i nie wpływa na pozycję strony w wyszukiwarce.
Podczas Medical Update, nasza pozycja we Francji jednego ze sklepów spadła, właśnie z powodu braku certyfikatu SSL i kilku mniejszych błędach. Po zakupie certyfikatu, zaczęliśmy odrabiać straty, jednak dojście do poziomu sprzed filtra, oraz jego późniejsze przebicie wymagało kilku miesięcy ciężkiej pracy przy optymalizacji strony. Jednak wtedy dostaliśmy nauczkę i SSL wylądował na wszystkich naszych domenach.
Czyli wygląda na to, że Neil Patell miał rację, bo to, co mówisz potwierdza jego badania. Zresztą od pewnego czasu Google już oficjalnie mówi o roli SSL, a nawet uważa, że połączenie HTTPS stanowi istotną część doświadczenia użytkownika, które ma być coraz mocniej brane pod uwagę w kształtowaniu wyników wyszukiwania. Dzięki za podzielenie się Twoją historią!
Dobrze wiedzieć bo sam nie miałem zainstalowanego go na stronach. To by wyjaśniało dlaczego moje strony tak słabo rankują.
Dzięki.
To prawda, że brak SSL na stronie zawsze budzi niepokój. Nawet jak się teraz patrzy, to dużo firm nie ma certyfikatu SSL i aż nie chce się wchodzić na ich stronę 🙁
Tak naprawdę świadomość ludzi w internecie jest zbyt niska, dobrze, że poruszacie ten temat
Ze swojego doświadczenia wiem, że warto zainwestować w płatny certyfikat ponieważ na niektórych serwerach bywają problemy z auto odnawianiem lets encrypt. Sama tego doświadczyłam podczas wakacji i okazało się, że moja strona była niedostępna przez 2 tygodnie. Lepiej zapłacić tą stówką raz na rok i mieć spokój ducha.
Twoja obserwacja, że płatny certyfikat SSL oferuje wyższą niezawodność, jest jak najbardziej trafna. Problemy z automatycznym odnawianiem certyfikatów Let’s Encrypt mogą czasem występować, szczególnie w przypadku niewłaściwej konfiguracji. Przykro mi, że podczas Twoich wakacji musiałaś się zmagać z tak frustrującą sytuacją.
Inwestowanie w płatny certyfikat SSL ma swoje wielorakie korzyści, w tym zapewnienie wsparcia technicznego oraz pewność, że Twoja strona będzie działać sprawnie przez cały okres obowiązywania certyfikatu. Koszt jest jak najbardziej uzasadniony – szczególnie jeśli możemy unikniąć potencjalnych problemów z dostępnością strony,
Dziękuję Ci za podzielenie się swoim doświadczeniem, jest to cenna wskazówka dla innych.
Aktualnie Google praktycznie od razu wycina strony, które nie posiadają SSLa. Jest to kluczowe, jeśli chodzi nie tylko o samo pozycjonowanie, ale również o bezpieczeństwo naszej witryny.
Dziś już nie ma możliwości aby strona internetowa zaistniała w sieci, bez certyfikatu ssl. Po drugie, bezpieczeństwo. Pamiętam piękne czasy gdzie moja strona była jedną z nielicznych opartych na https
Dzięki za głos, choć pod tym kątem wydaje się, że to dziś czasy są piękne, kiedy większość stron jest chroniona SSL’em. A w zasadzie ludzi – bo przecież certyfikat i szyfrowanie nie tyle chronią stronę, co jej użytkowników.