HTTPS w witrynie z certyfikatem SSL. Jak uzyskać certyfikat SSL na WordPress za darmo?

Czym jest i jak działa certyfikat SSL?

Części z nas na hasło „SSL” może przyjść na myśl ikonka kłódki na stronach internetowych umieszczona przed adresem URL. Jest to poprawne skojarzenie, ale nie odpowiada na pytanie, czym jest ten certyfikat ani jak działa.

Zacznijmy od podstaw: co dokładnie kryje się za pojęciem certyfikat SSL? Nazwa to skrótowiec od Secure Socket Layer, co w wolnym tłumaczeniu oznacza „warstwę zabezpieczeń gniazda”, lecz samo w sobie prawdopodobnie nie mówi to większości z nas za wiele.

Certyfikat SSL to fragment kodu pozwalający na bezpieczną wymianę informacji pomiędzy użytkownikiem z kartą sieciową, która posiada swój unikatowy numer MAC, a serwerami stron, gdzie są one hostingowane.

Podczas otwierania dowolnej domeny przeglądarka, z której korzystasz, wysyła zapytanie do serwera strony o przydzielenie dostępu. Serwer strony udostępnia swój protokół SSL, w którym znajduje się klucz do certyfikatu oraz informacje o tożsamości witryny. W sytuacjach, kiedy przesłany certyfikat jest nieaktualny lub nie spełnia jakichś kryteriów, użytkownicy otrzymują informację o braku zaufania do danej domeny. Gdy domena posiada aktualny klucz SSL, przeglądarka generuje klucz symetryczny do tego, który dostała od serwera, i odsyła w celu zatwierdzenia transakcji. Dane przesyłane od użytkownika na stronę są dzięki temu szyfrowane. Transakcja ta pozwala na bezpieczną wymianę danych, np. w sytuacji, w której podajesz numery karty kredytowej.

Ważne jest, aby w tym miejscu wyjaśnić, co oznacza w tym kontekście „bezpieczeństwo strony internetowej”.

Certyfikat SSL zapewnia bezpieczne połączenie pomiędzy użytkownikiem a stroną internetową pod względem wymiany danych w taki sposób, aby osoby trzecie nie mogły do nich dotrzeć przez unikalne szyfrowanie. Nie gwarantuje to jednak uczciwych zamiarów osób, które posiadają strony internetowe. Witryna posiadająca certyfikat SSL wciąż może być wykorzystywana w celu oszustwa.

W lepszym zrozumieniu tego istotnego zastrzeżenia może nam pomóc przedstawienie pewnej hipotetycznej sytuacji.

W naszej historii wykorzystamy chłopaka imieniem Krzyś. Krzyś chciałby kupić swojej koleżance sukienkę na urodziny i w tym celu odwiedził sklep internetowy. Na stronie pojawiła się informacja, że witryna jest bezpieczna, ponieważ posiada certyfikat SSL. Krzysiu zaufał temu komunikatowi i zakupił sukienkę, lecz nigdy jej nie otrzymał, ponieważ właściciel sklepu internetowego okazał się nieuczciwym sprzedawcą.

Certyfikat SSL zapewnia zatem bezpieczeństwo na stronie podczas wymiany informacji pomiędzy użytkownikiem a serwerem, z którego korzysta dana witryna internetowa, za pomocą szyfrowania danych dzięki wymianie kluczy. W żaden sposób nie odpowiada jednak za treść zawartą na stronie.

Certyfikaty SSL są wystawiane przez zaufane organy certyfikujące (Certificate Authorities – CA), które potwierdzają tożsamość i wiarygodność serwera.

Jaka jest różnica między HTTP i HTTPS?

Aby zrozumieć różnicę między HTTP a HTTPS, musisz najpierw wiedzieć, co kryje się pod tymi pojęciami.

HTTP (z ang. Hypertext Transfer Protocol) to protokół umożliwiający przesyłanie danych pomiędzy użytkownikiem a serwerem. Służy m.in. do przeglądania treści na stronach internetowych, wysyłania formularzy czy wysyłania danych do strony oraz ich pobierania.

Protokół przesyłania hipertekstu oparty jest na modelu żądań oraz odpowiedzi. Jak to wygląda w praktyce? Użytkownicy szukają poszczególnych informacji, a serwery odpowiadają na te żądania, przesyłając dane.

Żądanie HTTP zawiera dane takie jak:

• header – nagłówek zawierający informację o żądaniu,
• methods – określenie działań, jakie mają zostać wykonane,
• request body – pozostałe dane przekazywane do serwera.

Odpowiedź HTTP wygląda nieco inaczej:

• response header – nagłówek odpowiedzi zawiera m.in. informację o statusie odpowiedzi, np.:
  • 301 – przekierowanie strony na inny adres URL,
  • 404 – nie znaleziono strony,
  • 500 – problem z serwerem, na którym znajduje się strona,
• response body – odpowiedź o contencie na stronie, którego użytkownik żąda od serwera, np. treści blogowe wraz ze zdjęciami.

Obecna postać HTTP to HTTP/2, która w porównaniu do pierwotnej wersji zyskała wiele nowych funkcjonalności, co przyczyniło się do znacznego zwiększenia wydajności.

W przypadku HTTPS (Hypertext Transfer Protocol Secure) sytuacja wygląda identycznie. Mówiąc wprost, HTTPS to ten sam protokół HTTP, tylko z kluczem SSL.

Poniżej znajdują się 2 zrzuty ekranu: na pierwszym widać komunikat od przeglądarki, że ta witryna nie umożliwia bezpiecznego połączenia, ponieważ nie posiada certyfikatu SSL – stąd też informacja „Niezabezpieczona” oraz przekreślony element https.

Na drugim screenie znajduje się informacja, że połączenie jest bezpieczne.

Czym konkretnie różnią się więc protokoły HTTP i HTTPS? Najważniejsze rozbieżności zebraliśmy w poniższej tabeli:

Dlaczego Twoja witryna potrzebuje certyfikatu SSL?

Oto powody, dla których domena powinna posiadać certyfikat SSL:

• podnoszenie bezpieczeństwa domeny,
• zwiększone zaufanie użytkowników korzystających ze strony,
• pozycjonowanie – łatwiejsze zdobycie wyższych pozycji w SERP,
• ochrona przed atakami, np. MITM czy phishingiem,
• dostęp do zaawansowanych funkcji przeglądarki, m.in. API.

Jeśli chcesz wiedzieć, czego jeszcze może brakować Twojej stronie, wypełnij nasz brief i skorzystaj ze wsparcia ekspertów. Możesz też spróbować wykonać audyt SEO samodzielnie.

Jak uzyskać bezpłatny certyfikat SSL dla swojej witryny internetowej?

Darmowy a płatny certyfikat SSL

Certyfikat SSL można zarówno kupić, jak i zdobyć go za darmo. Zanim zdecydujesz się na jedną z opcji, warto wiedzieć, jakie są między nimi różnice.

Zacznijmy od najważniejszego: ile kosztuje certyfikat SSL? Płatny klucz SSL wiąże się z wydatkiem od kilkudziesięciu do ponad 1000 zł rocznie.

Płatne certyfikaty mogą być objęte wsparciem technicznym firm, które oferują takie usługi.

Niektóre opcje (zakładanie kont przez użytkowników, przesyłanie danych przez formularze, zakupy na stronie itd.) wymagają bardziej zaufanych, płatnych certyfikatów. Jeśli więc posiadasz sklep internetowy, płatny certyfikat jest konieczny, lecz w większości witryn darmowy SSL powinien w zupełności wystarczyć.

Proces uzyskania certyfikatu SSL zawsze wymaga potwierdzenia własności domeny, lecz przy płatnych wersjach jest to przeważnie proces bardziej złożony. Czyni to ten certyfikat bezpieczniejszym, co przekłada się na zaufanie użytkowników.

Typy certyfikatów SSL

1. Bezpłatne:

• Certyfikat DV (Domain Validation) – certyfikaty tego typu weryfikują, czy osoba ubiegająca się o certyfikat ma dostęp do domeny, a sam proces przebiega poprzez zatwierdzenie informacji otrzymanych na adres e-mail. Każda subdomena wymaga ponownej weryfikacji.
• Certyfikat Wildcard – pozwala zabezpieczyć domenę oraz wszystkie subdomeny za pomocą szyfrowania treści. Nie ma konieczności potwierdzania każdej subdomeny osobno jak w przypadku DV.
• Certyfikat SAN (Subject Alternative Name) – umożliwia zabezpieczenie domen i subdomen. Jest podobny do certyfikatu Wildcard, tyle że bardziej elastyczny, ponieważ dodatkowo pozwala wybrać, które subdomeny mają posiadać certyfikat, a które nie.

2. Płatne:

• Certyfikat EV (Extended Validation) – weryfikacja tego certyfikatu jest bardzo złożona (wykorzystuje się do tego dokumenty rejestrowe, wpisy w rządowych bazach danych oraz inne wiarygodne źródła), co czyni ją niezwykle bezpieczną.
• Certyfikat OV (Organization Validation) – nie wymaga tak restrykcyjnej weryfikacji jak EV, co przekłada się na nieco niższy poziom zabezpieczenia, ale jest adekwatnie tańszy do uzyskania od wcześniej wspomnianego EV.

Jak zdobyć darmowy certyfikat SSL?

Jeśli interesuje Cię darmowy certyfikat SSL, Let’s Encrypt jest najpopularniejszym wyborem.

Let’s Encrypt to organizacja non-profit, która oferuje nieodpłatne wygenerowanie certyfikatu SSL dla wskazanej domeny. Organizacja ta działa dzięki dobrowolnym wpłatom największych firm, takich jak Google, Amazon Web Services, Meta czy IBM.

Jak zainstalować bezpłatny certyfikat SSL?

Oto kroki, które trzeba podjąć, chcąc zainstalować certyfikat SSL za darmo:

1. Upewnij się, czy usługa hostingowa, na której znajduje się Twoja domena, oferuje wsparcie dla Let’s Encrypt.
2. Zainstaluj narzędzie Certbot, które pozwoli wygenerować certyfikat oraz zarządzać nim z poziomu serwera/hostingu.
3. Jeśli dotychczas wszystko się udało, czas na wygenerowanie certyfikatu. Uruchom klienta Let’s Encrypt, a w przypadku Certbot – wykonywanie poleceń.
4. Wymuś zmianę adresu z HTTP na HTTPS. Jeżeli korzystasz z technologii no-code/low-code takich jak WordPress, wystarczy zainstalować wtyczkę Really Simple SSL, aby wymusić na stronie wykrycie oraz wdrożenie certyfikatu SSL.

W sytuacji, gdy strona jest na serwerze HTTP typu Apache czy nginx, warto ręcznie skonfigurować serwer internetowy, aby użył wygenerowanego certyfikatu SSL.

Google Search Console i zmiany HTTPS a rankingi w wynikach wyszukiwania

Dodanie certyfikatu SSL na stronę internetową wpływa pozytywnie nie tylko na bezpieczeństwo, ale również na wyniki SEO.

Google uwzględnia HTTPS jako jeden z czynników rankingowych. W praktyce oznacza to, że strony z certyfikatem SSL mogą otrzymywać wyższe pozycje w SERP. Z tego względu sprawdzenie certyfikatu SSL jest jednym z pierwszych punktów analizy technicznej SEO. Warto jednak pamiętać, że sama zmiana z HTTP na HTTPS nie wpłynie automatycznie na wzrost rankingu w wynikach wyszukiwania.

Gdy strona uzyska certyfikat SSL, warto dokonać pewnych zmian w GSC (Google Search Console):

1. Zarejestruj nową wersję strony, dodając pełny adres URL z https://.
2. Zaktualizuj sitemapę z nowym adresem URL.

FAQ – dowiedz się więcej na temat certyfikatu SSL