HTTPS w witrynie z certyfikatem SSL. Jak uzyskać certyfikat SSL na WordPress za darmo?

SSL jest dziś w internecie powszechnie uznanym standardem szyfrowania i warunkiem bezpieczeństwa użytkowników. Co więcej, jego brak może prowadzić do utraty zaufania do witryny oraz obniżenia jej pozycji w wyszukiwarkach. Co to certyfikat SSL i dlaczego jest tak istotny? Na czym polega różnica między HTTP a HTTPS? Te i wiele innych zagadnień związanych z zabezpieczeniem stron internetowych poruszymy w niniejszym artykule.

,
Ostatnia aktualizacja: 06-06-2024
Spis treści

Czym jest i jak działa certyfikat SSL?

Części z nas na hasło „SSL” może przyjść na myśl ikonka kłódki na stronach internetowych umieszczona przed adresem URL. Jest to poprawne skojarzenie, ale nie odpowiada na pytanie, czym jest ten certyfikat ani jak działa.

Zacznijmy od podstaw: co dokładnie kryje się za pojęciem certyfikat SSL? Nazwa to skrótowiec od Secure Socket Layer, co w wolnym tłumaczeniu oznacza „warstwę zabezpieczeń gniazda”, lecz samo w sobie prawdopodobnie nie mówi to większości z nas za wiele.

Certyfikat SSL to fragment kodu pozwalający na bezpieczną wymianę informacji pomiędzy użytkownikiem z kartą sieciową, która posiada swój unikatowy numer MAC, a serwerami stron, gdzie są one hostingowane.

Podczas otwierania dowolnej domeny przeglądarka, z której korzystasz, wysyła zapytanie do serwera strony o przydzielenie dostępu. Serwer strony udostępnia swój protokół SSL, w którym znajduje się klucz do certyfikatu oraz informacje o tożsamości witryny. W sytuacjach, kiedy przesłany certyfikat jest nieaktualny lub nie spełnia jakichś kryteriów, użytkownicy otrzymują informację o braku zaufania do danej domeny. Gdy domena posiada aktualny klucz SSL, przeglądarka generuje klucz symetryczny do tego, który dostała od serwera, i odsyła w celu zatwierdzenia transakcji. Dane przesyłane od użytkownika na stronę są dzięki temu szyfrowane. Transakcja ta pozwala na bezpieczną wymianę danych, np. w sytuacji, w której podajesz numery karty kredytowej.

Ważne jest, aby w tym miejscu wyjaśnić, co oznacza w tym kontekście „bezpieczeństwo strony internetowej”.

Certyfikat SSL zapewnia bezpieczne połączenie pomiędzy użytkownikiem a stroną internetową pod względem wymiany danych w taki sposób, aby osoby trzecie nie mogły do nich dotrzeć przez unikalne szyfrowanie. Nie gwarantuje to jednak uczciwych zamiarów osób, które posiadają strony internetowe. Witryna posiadająca certyfikat SSL wciąż może być wykorzystywana w celu oszustwa.

W lepszym zrozumieniu tego istotnego zastrzeżenia może nam pomóc przedstawienie pewnej hipotetycznej sytuacji.

W naszej historii wykorzystamy chłopaka imieniem Krzyś. Krzyś chciałby kupić swojej koleżance sukienkę na urodziny i w tym celu odwiedził sklep internetowy. Na stronie pojawiła się informacja, że witryna jest bezpieczna, ponieważ posiada certyfikat SSL. Krzysiu zaufał temu komunikatowi i zakupił sukienkę, lecz nigdy jej nie otrzymał, ponieważ właściciel sklepu internetowego okazał się nieuczciwym sprzedawcą.

Certyfikat SSL zapewnia zatem bezpieczeństwo na stronie podczas wymiany informacji pomiędzy użytkownikiem a serwerem, z którego korzysta dana witryna internetowa, za pomocą szyfrowania danych dzięki wymianie kluczy. W żaden sposób nie odpowiada jednak za treść zawartą na stronie.

Certyfikaty SSL są wystawiane przez zaufane organy certyfikujące (Certificate Authorities – CA), które potwierdzają tożsamość i wiarygodność serwera.

 

Jaka jest różnica między HTTP i HTTPS?

Aby zrozumieć różnicę między HTTP a HTTPS, musisz najpierw wiedzieć, co kryje się pod tymi pojęciami.

HTTP (z ang. Hypertext Transfer Protocol) to protokół umożliwiający przesyłanie danych pomiędzy użytkownikiem a serwerem. Służy m.in. do przeglądania treści na stronach internetowych, wysyłania formularzy czy wysyłania danych do strony oraz ich pobierania.

Protokół przesyłania hipertekstu oparty jest na modelu żądań oraz odpowiedzi. Jak to wygląda w praktyce? Użytkownicy szukają poszczególnych informacji, a serwery odpowiadają na te żądania, przesyłając dane.

Żądanie HTTP zawiera dane takie jak:

  • header – nagłówek zawierający informację o żądaniu,
  • methods – określenie działań, jakie mają zostać wykonane,
  • request body – pozostałe dane przekazywane do serwera.

 

Odpowiedź HTTP wygląda nieco inaczej:

  • response header – nagłówek odpowiedzi zawiera m.in. informację o statusie odpowiedzi, np.:
    • 301 – przekierowanie strony na inny adres URL,
    • 404 – nie znaleziono strony,
    • 500 – problem z serwerem, na którym znajduje się strona,
  • response body – odpowiedź o contencie na stronie, którego użytkownik żąda od serwera, np. treści blogowe wraz ze zdjęciami.

 

Obecna postać HTTP to HTTP/2, która w porównaniu do pierwotnej wersji zyskała wiele nowych funkcjonalności, co przyczyniło się do znacznego zwiększenia wydajności.

W przypadku HTTPS (Hypertext Transfer Protocol Secure) sytuacja wygląda identycznie. Mówiąc wprost, HTTPS to ten sam protokół HTTP, tylko z kluczem SSL.

Poniżej znajdują się 2 zrzuty ekranu: na pierwszym widać komunikat od przeglądarki, że ta witryna nie umożliwia bezpiecznego połączenia, ponieważ nie posiada certyfikatu SSL – stąd też informacja „Niezabezpieczona” oraz przekreślony element https.

Brak certyfikatu SSL - witryna nie umożliwia bezpiecznego połączenia

Na drugim screenie znajduje się informacja, że połączenie jest bezpieczne.

Strona z certyfikatem SSL - połączenie jest bezpieczne

 

Czym konkretnie różnią się więc protokoły HTTP i HTTPS? Najważniejsze rozbieżności zebraliśmy w poniższej tabeli:

HTTP a HTTPS - czym się różnią? Tabela

 

Dlaczego Twoja witryna potrzebuje certyfikatu SSL?

Oto powody, dla których domena powinna posiadać certyfikat SSL:

  • podnoszenie bezpieczeństwa domeny,
  • zwiększone zaufanie użytkowników korzystających ze strony,
  • pozycjonowanie – łatwiejsze zdobycie wyższych pozycji w SERP,
  • ochrona przed atakami, np. MITM czy phishingiem,
  • dostęp do zaawansowanych funkcji przeglądarki, m.in. API.

 

Jeśli chcesz wiedzieć, czego jeszcze może brakować Twojej stronie, wypełnij nasz brief i skorzystaj ze wsparcia ekspertów. Możesz też spróbować wykonać audyt SEO samodzielnie.

 

Jak uzyskać bezpłatny certyfikat SSL dla swojej witryny internetowej?

Darmowy a płatny certyfikat SSL

Certyfikat SSL można zarówno kupić, jak i zdobyć go za darmo. Zanim zdecydujesz się na jedną z opcji, warto wiedzieć, jakie są między nimi różnice.

Zacznijmy od najważniejszego: ile kosztuje certyfikat SSL? Płatny klucz SSL wiąże się z wydatkiem od kilkudziesięciu do ponad 1000 zł rocznie.

Płatne certyfikaty mogą być objęte wsparciem technicznym firm, które oferują takie usługi.

Niektóre opcje (zakładanie kont przez użytkowników, przesyłanie danych przez formularze, zakupy na stronie itd.) wymagają bardziej zaufanych, płatnych certyfikatów. Jeśli więc posiadasz sklep internetowy, płatny certyfikat jest konieczny, lecz w większości witryn darmowy SSL powinien w zupełności wystarczyć.

Proces uzyskania certyfikatu SSL zawsze wymaga potwierdzenia własności domeny, lecz przy płatnych wersjach jest to przeważnie proces bardziej złożony. Czyni to ten certyfikat bezpieczniejszym, co przekłada się na zaufanie użytkowników.

 

Typy certyfikatów SSL

  1. Bezpłatne:
  • Certyfikat DV (Domain Validation) – certyfikaty tego typu weryfikują, czy osoba ubiegająca się o certyfikat ma dostęp do domeny, a sam proces przebiega poprzez zatwierdzenie informacji otrzymanych na adres e-mail. Każda subdomena wymaga ponownej weryfikacji.
  • Certyfikat Wildcard – pozwala zabezpieczyć domenę oraz wszystkie subdomeny za pomocą szyfrowania treści. Nie ma konieczności potwierdzania każdej subdomeny osobno jak w przypadku DV.
  • Certyfikat SAN (Subject Alternative Name) – umożliwia zabezpieczenie domen i subdomen. Jest podobny do certyfikatu Wildcard, tyle że bardziej elastyczny, ponieważ dodatkowo pozwala wybrać, które subdomeny mają posiadać certyfikat, a które nie.

 

  1. Płatne:
  • Certyfikat EV (Extended Validation) – weryfikacja tego certyfikatu jest bardzo złożona (wykorzystuje się do tego dokumenty rejestrowe, wpisy w rządowych bazach danych oraz inne wiarygodne źródła), co czyni ją niezwykle bezpieczną.
  • Certyfikat OV (Organization Validation) – nie wymaga tak restrykcyjnej weryfikacji jak EV, co przekłada się na nieco niższy poziom zabezpieczenia, ale jest adekwatnie tańszy do uzyskania od wcześniej wspomnianego EV.

 

Jak zdobyć darmowy certyfikat SSL?

Jeśli interesuje Cię darmowy certyfikat SSL, Let’s Encrypt jest najpopularniejszym wyborem.

Darmowy SSL Let's Encrypt

Let’s Encrypt to organizacja non-profit, która oferuje nieodpłatne wygenerowanie certyfikatu SSL dla wskazanej domeny. Organizacja ta działa dzięki dobrowolnym wpłatom największych firm, takich jak Google, Amazon Web Services, Meta czy IBM.

 

Jak zainstalować bezpłatny certyfikat SSL?

Oto kroki, które trzeba podjąć, chcąc zainstalować certyfikat SSL za darmo:

  1. Upewnij się, czy usługa hostingowa, na której znajduje się Twoja domena, oferuje wsparcie dla Let’s Encrypt.
  2. Zainstaluj narzędzie Certbot, które pozwoli wygenerować certyfikat oraz zarządzać nim z poziomu serwera/hostingu.
  3. Jeśli dotychczas wszystko się udało, czas na wygenerowanie certyfikatu. Uruchom klienta Let’s Encrypt, a w przypadku Certbot – wykonywanie poleceń.
  4. Wymuś zmianę adresu z HTTP na HTTPS. Jeżeli korzystasz z technologii no-code/low-code takich jak WordPress, wystarczy zainstalować wtyczkę Really Simple SSL, aby wymusić na stronie wykrycie oraz wdrożenie certyfikatu SSL.

 

Really Simple SSL - wtyczka do WordPress

W sytuacji, gdy strona jest na serwerze HTTP typu Apache czy nginx, warto ręcznie skonfigurować serwer internetowy, aby użył wygenerowanego certyfikatu SSL.

 

Google Search Console i zmiany HTTPS a rankingi w wynikach wyszukiwania

Dodanie certyfikatu SSL na stronę internetową wpływa pozytywnie nie tylko na bezpieczeństwo, ale również na wyniki SEO.

Google uwzględnia HTTPS jako jeden z czynników rankingowych. W praktyce oznacza to, że strony z certyfikatem SSL mogą otrzymywać wyższe pozycje w SERP. Z tego względu sprawdzenie certyfikatu SSL jest jednym z pierwszych punktów analizy technicznej SEO. Warto jednak pamiętać, że sama zmiana z HTTP na HTTPS nie wpłynie automatycznie na wzrost rankingu w wynikach wyszukiwania.

Gdy strona uzyska certyfikat SSL, warto dokonać pewnych zmian w GSC (Google Search Console):

  1. Zarejestruj nową wersję strony, dodając pełny adres URL z https://.
  2. Zaktualizuj sitemapę z nowym adresem URL.

 

FAQ – dowiedz się więcej na temat certyfikatu SSL

Co to jest ostrzeżenie dotyczące treści mieszanych?

Komunikat ten pojawia się, gdy przeglądarka ma podejrzenie, że w serwisie pomimo certyfikatu SSL istnieją zasoby (np. obrazy), które mogą kierować do niezabezpieczonych stron.

Jak długo ważny jest certyfikat SSL?

Większość certyfikatów SSL ma okres ważności, który przeważnie wynosi rok. Można jednak spotkać się z sytuacją, gdy certyfikat obowiązuje przez okres dłuższy lub krótszy niż rok – jest to odgórnie ustalane przez dostawcę certyfikatu.

Jak wdrożyć SSL w WordPress i rozwiązać błąd zawartości mieszanej?

1. Wykup lub zdobądź darmowy certyfikat SSL, jeśli strona jeszcze go nie posiada.
2. Zmień adres URL na https:// w ustawieniach WordPress lub skorzystaj z wtyczek, np. Really Simple SSL.
3. Ustaw automatyczne przekierowanie z http:// na https:// za pomocą pliku .htaccess lub skorzystaj z wtyczek do przekierowań.
4. Zaktualizuj linki oraz zasoby, tak aby korzystały z protokołu HTTPS.

 

Autorzy
  • Bartłomiej Szczypka

    SEO Specialist. Z wykształcenia inżynier symulacji. Zajmuje się technicznymi aspektami stron internetowych oraz link buildingiem. Prywatnie miłośnik nocnych wypraw górskich oraz tworzenia stron internetowych.

  • Agnieszka Pietrzak

    Senior Content SEO Specialist. Absolwentka filologii polskiej na Uniwersytecie Warszawskim i Jagiellońskim, redaktorka i korektorka. Wcześniej związana z branżą wydawniczą, obecnie zajmuje się content marketingiem. Interesuje się sztuczną inteligencją i LLM. Lubi książki, podcasty i swojego psa.

Wymieńmy się doświadczeniami
Opowiedz nam o potrzebach twojej firmy, a my z pasją zajmiemy się ich wdrożeniem.

Bartosz Kastelik
Global Chief Sales Officer

Administratorem podanych powyżej danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) jest SEMHOUSE Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie przy ul. Złotej 61/101, 00-819 Warszawa, wpisana do rejestru przedsiębiorców KRS prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001063860, NIP: 527-308-03-25, REGON: 526677066.

Więcej informacji na temat przetwarzania Państwa danych osobowych, w tym informacje na temat przysługujących Państwu praw, znajdziecie Państwo w naszej Polityce prywatności.

Napisz do nas!

Jesteśmy częścią grupy