Co to jest certyfikat SSL i dlaczego szyfrowanie jest ważne dla SEO Twojej strony?
(15 min czytania)
Korzystanie z protokołu SSL zapewnia bezpieczne połączenie ze stroną. Szyfrowanie danych nie tylko chroni Twoją domenę, ale zarazem pozytywnie wpływa na widoczność i ruch z Google. Dowiedz się, dlaczego certyfikat SSL jest tak ważny, wybierz odpowiedni dla Twojej witryny i zadbaj o odpowiednie jego wdrożenie.
Spis treści:
- Czym jest certyfikat SSL?
- Jak działa szyfrowanie SSL
- Dlaczego warto wdrożyć certyfikat?
- Rodzaje certyfikatów SSL
- Certyfikat SSL – ile kosztuje?
- Darmowy certyfikat SSL
- Tani certyfikat SSL
- Jak zainstalować certyfikat SSL?
- Najczęstsze błędy we wdrożeniu SSL
- Sprawdzenie poprawności wdrożenia SSL
- Podsumowanie
- FAQ
Czym jest certyfikat SSL?
Certyfikat SSL (Secure Sockets Layer) jest to protokół sieciowy używany do zabezpieczenia połączenia sieciowego. Został on przyjęty jako standard szyfrowania danych i zapewnienia poufności w transmisji danych internetowych. Używa się go w różnych protokołach aplikacji – zarówno podczas obsługi stron internetowych (protokół http) czy przesyłania poczty internetowej, jak i podczas prac z serwerami FTP. Dzięki uniwersalności i prostej obsłudze certyfikat SSL stał się standardem bezpieczeństwa w serwisach przesyłających nasze dane – w sklepach internetowych, serwisach aukcyjnych czy też w bankowości internetowej.
Jak działa szyfrowanie SSL
Sposób działania certyfikatu SSL można przedstawić w kilku krokach:
- Przeglądarka wysyła prośbę do serwera (podczas próby otwarcia strony www)
- Serwer zwraca odp z kopią certyfikatu SSL
- Przeglądarka weryfikuje ważność i poprawność certyfikatu SSL, by wysłać po tej czynności odp do serwera
- Serwer generuje klucz
- Przeglądarka za pośrednictwem zaszyfrowanego klucza przekazuje dane klienta
- Serwer odszyfrowuje przesłany klucz i umożliwia przesyłanie zaszyfrowanych danych
Oczywiście są to bardzo ogólnie opisane kroki. Zależy nam tu na stworzeniu zarysu funkcjonowania procesów podczas szyfrowanego transferu danych – nie na dokładnych technicznych wyjaśnieniach.
Dlaczego warto wdrożyć certyfikat?
Tak jak wyżej wspomniałem, wszędzie, gdzie przesyłane są jakiekolwiek dane, warto rozważyć wdrożenie certyfikatu SSL. Im tych danych będziemy przesyłali więcej, tym bardziej należy zwrócić uwagę na bezpieczeństwo ich przesyłania. Takim przykładowym serwisem, gdzie koniecznie trzeba wdrożyć SSL, jest sklep internetowy. Przesyłamy tu nie tylko dane klientów, ale często również dane ich środków płatności – koniecznie trzeba zadbać o ich należytą ochronę.
Zalety wdrożenia certyfikatu SSL idealnie oddaje poniższa infografika:
SSL a SEO
Bardzo często poruszanym argumentem za wdrożeniem SSLa jest widoczność serwisu w wynikach organicznych Google. Posiadanie szyfrowania jest jednym z wielu czynników rankingowych i wpływa także na SEO. Nie jest to jeden z głównych czynników i po wdrożeniu SSL nie dostrzeżemy znacznego zwiększenia widoczności w Google. Czy to oznacza, że nie warto z tego powodu inwestować w certyfikat SSL? Oczywiście, że warto!
Dlaczego?
- jest to jeden z czynników rankingowych, nawet jeśli nie ma znaczącego wpływu,
- większość znaczących się serwisów posiada adresy w https - Google może zacząć podchodzić do adresu http, jako do anomalii,
- wpływ obecności SSL może zostać w przyszłości zwiększony,
- Osobiście jestem zwolennikiem wdrażania SSL’a, zamiast poświęcania czasu na dywagacje o procentowym znaczeniu na pozycje :).
SSL a budowa zaufania
Tak jak wcześniej wspomniałem, coraz więcej stron przechowujących dane klientów posiada certyfikaty SSL. Jest to pewien wyznacznik bezpieczeństwa danych – klienci, widząc serwis pod adresem http://
Przesyłanie danych z użyciem stron bez SSL jest traktowane przez użytkowników internetu jako działanie ryzykowne. Może to być powodem zmniejszenia atrakcyjności serwisu na tle konkurencji.
SSL w sklepach internetowych
Jeżeli w obrębie danej domeny dokonywane są transakcje, chronienie strony certyfikatem SSL jest w obecnych czasach niezbędne.
Przede wszystkim, należy pamiętać, że osoby dokonujące zakupów online są coraz bardziej wyczuleni w kontekście bezpieczeństwa płatności. Wobec tego, jeżeli na danym e-sklepie nie działa certyfikat SSL, istnieje większe prawdopodobieństwo, że platforma będzie mierzyć się z wyższym współczynnikiem odrzuceń (Bounce Rate), który z kolei przeważnie powoduje mniejszą ilość przeprowadzonych transakcji wewnątrz takiej domeny.
To jednak nie jedyna wada, która może wyniknąć z braku certyfikatów SSL. Implementacja protokołów SSL jest jednym z warunków, których oczekuje norma wydajności Payment Card Industry Data Security Standard. Strona www, która nie jest zabezpieczona certyfikatem bezpieczeństwa, nie może wykorzystywać różnych metod płatności, opartych na kartach kredytowych.
Ponadto:
- SSL jest niezbędny, żeby użytkownicy mogli dokonywać transakcji za pośrednictwem mediów społecznościowych,
- używanie certyfikatów SSL potwierdza autentyczność danego sklepu internetowego,
- certyfikaty SSL wzbudzają większe zaufanie potencjalnych klientów,
- dane Twoich klientów są w pełni zabezpieczone i nie mogą być zmieniane przez osoby trzecie podczas realizacji transferu.
Jak rozpoznać, że strona internetowa używa SSL?
Strona internetowa jest zabezpieczona certyfikatem SSL, jeśli spełnia poniższe kryteria.
- Adres rozpoczyna się od prefiksu https://
w polu adresu przeglądarek. - W polu adresu przeglądarek umiejscowiona jest kłódka. Najczęściej zlokalizowana jest ona przed oznaczeniem https://
(w przeglądarkach takich jak Google Chrome, Firefox, Opera) lub po prawej stronie paska adresu (między innymi Internet Explorer). - Klikając w kłódkę, możesz dowiedzieć się o szczegółach certyfikatu oraz sprawdzić, czy adres witryny, na której się znajdujesz, jest tożsamy z nazwą strony internetowej opisanej w certyfikacie.
- Natomiast, jeśli w miejscu, gdzie znajduje się pole adresu, wyświetli Ci się tzw. zielony pasek, możesz być pewien, że strona internetowa, na której się znajdujesz, jest wyposażona w certyfikat SSL z technologią EV.
- Niektórzy właściciele domeny, dodatkową instalują pieczęć bezpieczeństwa, która informuje użytkowników, że strona posiada certyfikat SSL. Warto jednak pamiętać, że instalowanie pieczęci nie jest obowiązkowe i jej brak na stronie www, nie oznacza, że platforma nie jest zabezpieczona certyfikatem.
Rodzaje certyfikatów SSL
Certyfikaty dla przeciętnego właściciela serwisu internetowego można podzielić przede wszystkim na darmowe i płatne. Na tym jednak nie kończy się podział certyfikatów. Dzielą się one również na kilka typów ze względu na poziom szyfrowania.
Certyfikat DV (Domain Validation)
Jest to najprostszy i najczęściej wybierany typ certyfikatu. Jest on przypisywany do domeny i nie przesyła do przeglądarki żadnych informacji na temat właściciela certyfikatu. Aby zakupić taki certyfikat, musimy:
- posiadać domenę zarejestrowaną na dane firmowe (widoczne w WHOIS),
- posiadać pocztę w domenie serwisu (musimy zweryfikować się przez link przesłany mailem).
Dla kogo zainstalowany certyfikat SSL tego typu będzie dobrym rozwiązaniem? Domain Validation polecany jest przede wszystkim dla właścicieli małych sklepów internetowych, portali, blogów osobistych, czy ogólnodostępnych forów, gdzie można wymieniać się spostrzeżeniami na temat konkretnego zagadnienia.
Eksperci coraz częściej podkreślają, że w przypadku sklepów internetowych, które oparte są o system CMS, w tym najpopularniejszy z nich WordPress, szczególnie warto rozważyć zabezpieczenie DV. Dlaczego?
Dostęp do panelu administracyjnego jest uzyskiwany za pośrednictwem formularza logowania w przeglądarce internetowej. Certyfikat DV znacznie może zwiększyć prawdopodobieństwo bezpiecznych połączeń internetowych i uchronić domenę przed jej przejęciem przez niepożądanych gości, którzy np. mogą wprowadzić na stronę www treści, które obciążają wizerunek przedsiębiorstwa. Oczywiście jest to niezgodne z prawem, natomiast każde niekorzystna wzmianka na temat danej firmy w przestrzeni internetowej, znacznie może uszczuplić m.in. ilość i jakość oczekiwanych leadów.
Certyfikat OV (Organization Validation)
Ten typ certyfikacji potwierdza nie tylko prawa do domeny, ale i dane związane z firmą. By wdrożyć taki certyfikat, należy potwierdzić nie tylko domenę, ale i dane firmowe.
Dla kogo? Przede wszystkim dla stron internetowych, które wymagają od użytkowników podania wielu osobistych danych podczas rejestracji, m.in.:
- imię i nazwisko,
- numer telefonu,
- adres zamieszkania.
Z tego względu nietrudno się domyślić, że protokół SSL typu Organization Validation jest dobrym rozwiązaniem dla rozbudowanych witryn internetowych, za pomocą których dokonywane są płatności online oraz rezerwację np. pobytu w hotelu, czy wizyty u lekarza.
O tym certyfikacie SSL nie powinni również zapominać administratorzy obsługujący strony, na których znajdują się bazy danych. Zabezpieczone protokołem SSL powinno być także większość platform urzędów administracji publicznej, gdzie potencjalni hakerzy mogą znaleźć wrażliwe dane.
Ile kosztuje certyfikat SSL OV? Koszt takiego zabezpieczenia to około 500 PLN.
Certyfikaty EV (Extended Validation)
Wydanie tego certyfikatu wiąże się z dużo bardziej restrykcyjnymi analizami. Oprócz przesłania dokumentów firmowych musimy w tym przypadku przejść specjalną weryfikację. W tym celu najlepiej skontaktować się ze specjalną organizacją weryfikującą.
Strony z tego rodzaju certyfikatami SSL możemy łatwo rozpoznać – po danych firmowych w pasku przeglądarki, które są oznaczone charakterystyczną kłódką.
Najczęściej tego typu zabezpieczenie jest spotykane w systemach płatności online oraz w bankowości elektronicznej (zrzut ekranu powyżej).
Nie ma co ukrywać, że dane, które umożliwiają „włamanie się” do systemów finansowych, są najbardziej pożądane wśród dokonujących tego rodzaju przestępstwa. Dlatego pozyskanie certyfikatu EV gwarantuje najbardziej wiarygodną ochronę ze wszystkich typów zabezpieczeń.
Warto wiedzieć, że w ofercie darmowych dostawców znajdziemy tylko certyfikaty DV. Za pozostałe trzeba już zapłacić.
Certyfikat SSL – ile kosztuje?
Płatne certyfikaty SSL dystrybuowane są przez wiele podmiotów zajmujących się dystrybucją certyfikatów. Są do tego upoważnieni przez urząd certyfikacji – CA Security Council (CASC).
Aby przedstawić orientacyjny koszt zakupu takiego certyfikatu, wykorzystamy ofertę jednego z dystrybutorów (https://
Darmowy certyfikat SSL
Oprócz wyż.wym. płatnych certyfikatów istnieje możliwość nabycia darmowego certyfikatu SSL. Dystrybucją takich certyfikatów zajmują się głównie Let’s Encrypt (https://
Często klienci pytają: po co płacić za certyfikat, skoro jest za darmo? Warto w tym miejscu zaznaczyć, że:
- darmowy certyfikat jest tylko DV (Domain Validation),
- podczas włamania darmowe certyfikaty nie posiadają żadnej finansowej gwarancji ze strony ich dystrybutora.
Darmowy certyfikat sprawdza się w przypadku małych stron, ale serwisy, które przetwarzają dane klientów (jak e-commerce czy serwisy finansowe) powinny już rozważyć zakup płatnego certyfikatu.
Tani certyfikat SSL
Na szczęście podstawowe funkcje certyfikatu SSL nie są zarezerwowane jedynie dla przedsiębiorstw, które mogą pochwalić się nieprzeciętnymi wynikami sprzedażowymi w ciągu roku. Otóż koszt podstawowego zabezpieczenia wynosi rocznie około 100 PLN.
Jak zainstalować certyfikat SSL?
Sam zakup certyfikatu u dostawcy nie zabezpiecza strony, konieczne jest do tego jego wdrożenie. A zatem, jak dodać certyfikat SSL do strony? Przede wszystkim należy go uruchomić na serwerze. Warto zwrócić tu uwagę na to, czy certyfikat:
- jest uruchomiony zarówno dla wersji www, jak i bez www,
- aktywowany jest również dla subdomen (jeśli mamy takie w serwisie).
Poprawnie wdrożony SSL powinien powodować, że przeglądarka internetowa poinformuje nas o tym po otwarciu strony – z wykorzystaniem tego komunikatu:
Na tym kroku nie należy kończyć analizy poprawności wdrożenia SSL – zwłaszcza w kontekście SEO. O ile w kontekście znaczenia SSL w pozycjonowaniu zdania są podzielone (szczególnie jeśli chodzi o procentowe znaczenie), o tyle sam wpływ złego wdrożenia jest pewny.
Dla stron opartych o CMS WordPress przygotowano wtyczki, które pomagają we wdrożeniu SSLa – ułatwia to uniknięcie nw. błędów. Jedną z takich wtyczek jest Really Simple SSL, o której pisałem na swoim blogu w artykule Instalacja certyfikatu SSL w WordPress oraz przekierowanie 301 z http na https.
Jak zainstalować certyfikat SSL na WordPress?
Chcąc zainstalować certyfikat SSL w systemie WordPress, warto wspomóż się jedną ze specjalnych wtyczek takich jak Really Simple SSL lub WP Force SSL. Wtyczka znacznie ułatwia instalację protokołu SSL, między innymi poprzez prawidłowe ustawienie przekierowania 301. Dzięki czemu użytkownicy odwiedzający Twoją stronę, bez większego problemu trafią pod poprawny adres z przedrostkiem https. Jak to wszystko zrobić? Poniżej znajdziesz krótką instrukcję.
- Najpierw oczywiście zaloguj się do panelu witryny www Twojej strony na CMS WordPress
- Następnie kliknij sekcję: Wtyczki > Dodaj nową > np. Really Simple SSL > i Zainstaluj
- Kolejnym krokiem jest przejście do następujących sekcji: Wtyczki > Zainstalowane wtyczki > Really Simple SSL > Settings
- Potem należy kliknąć przycisk: Go ahead, activate SSL.
Po wykonaniu powyższych kroków, Twoja strona internetowa będzie chroniona przez protokół SSL.
Najczęstsze błędy we wdrożeniu SSL
Omówimy teraz najczęściej występujące błędy wdrożenia w kontekście SEO. Wystrzegaj się ich, jeśli chcesz, by zakup certyfikatu przyniósł zamierzone efekty.
Brak przekierowań
Pierwszym najczęściej występującym błędem jest brak odpowiednich przekierowań 301. Warto tu pamiętać, że dla Google'a adresy http://
Ma to działać według schematu:
- http://
domena.pl >> 301 >> https:// domena.pl - http://
domena.pl/ dowolna-podstrona-1/ >> 301 >> https:// domena.pl/ dowolna-podstrona-1/ - http://
domena.pl/ dowolna-podstrona-2/ >> 301 >> https:// domena.pl/ dowolna-podstrona-2/
Wewnętrzne zasoby serwisu
Po wdrożeniu certyfikatu SSL dość często występuje tzw. mixed content. Dlaczego jest to błąd? Aby dane w serwisie były odpowiednio szyfrowane, wszystkie zasoby strony powinny znajdować się pod adresem zaczynającym się od https://
- zasobów graficznych (np. pliki jpg),
- arkuszy stylów (pliki .css),
- skryptów JS.
Podczas tworzenia stron internetowych niejednokrotnie adresy zasobów przypisywane są w postaci bezwzględnej – jako adres:
<a href=”http://
Adresy takie należy odnaleźć oraz zmienić na zaczynające się od https://
Tag kanoniczny
Podczas optymalizacji serwisu często zaleceniem jest ustawienie tagu kanonicznego – „na siebie samego”. Gdy serwis pojawia się pod adresem http://
Zdarza się jednak, że po wdrożeniu adresacji https://
Podczas wdrożenia certyfikatu należy zwrócić uwagę, czy tag kanoniczny wskazuje na nowy finalny adres podstrony. Adres z https://
Mapa strony w formacie XML
Kolejnym miejscem, gdzie należy sprawdzić aktualność adresacji, jest mapa strony w formacie XML – najczęściej występująca pod adresem /
Warto sprawdzić, czy adresy, które wyświetlamy w sitemapie, są w formacie https://
Usługi Google Search Console
W sytuacji, gdy weryfikujemy dodawaną usługę, mamy do wyboru:
- dodanie całej domeny domena.pl (niezależnie od początku http://
, http:// www czy też https:// ), - dodanie konkretnego adresu (np. http://
domena.pl).
W przypadku wybrania pierwszej opcji nie musimy nic robić po wdrożeniu SSL-a. Jeśli weryfikowaliśmy konkretny adres serwisu (np. http://
Część właścicieli stron obawia się, że po wdrożeniu przez nich SSL’a strona spada w wynikach Google – na podstawie danych z Google Search Console. Sytuacja taka nie oznacza, że serwis zostaje wyindeksowany z Google (często tak interpretują wykres właściciele stron). Wyindeksowywane są adresy zaczynające się od dotychczasowego adresu http://
Należy dodać nową usługę zaczynającą się od aktualnego adresu np. https://
Błędy te opisywałem również w artykule Jak poprawnie wdrożyć SSL (https), by nie wpłynęło to negatywnie na SEO.
Sprawdzenie poprawności wdrożenia SSL
Często zadawanym pytaniem przez właścicieli serwisów jest „jak mogę sprawdzić poprawność wdrożenia?”. Podstawowym sposobem jest weryfikacja w/
To analizy dotyczące głównie czynników wpływających na SEO. Jeśli chodzi o poprawność samego wdrożenia certyfikatu i poprawność jego działania - warto posłużyć się narzędziami do takiej analizy - jednym z przykładowych jest https://
Wygaśnięcie certyfikatu SSL
Brak odnowienia certyfikatu w terminie spowoduje, że użytkownikom, wchodzącym na Twoją stronę internetową, będą wyświetlały się komunikaty, że witryna, z której korzystają, jest niebezpieczna. To jednak nie są najgorsze skutki, ponieważ brak przedłużenia certyfikatu SSl, może spowodować, że strona www zostanie zablokowana. Niestety proces walidacji i ponownej instalacji może trwać nawet kilkadziesiąt godzin.
Podsumowanie
Obecność certyfikatów dla stron przesyłających dane stała się pewnym standardem. Warto wdrażać SSL z uwagi na bezpieczeństwo danych, jak i budowę zaufania w oczach potencjalnych klientów. Zawsze odradzam podchodzenie do SSL, jako pewnego rodzaju “metody” na Google, która nagle podniesie autorytet strony. Gdy klient dzwoni z taką hipotezą, od razu nasuwa mi się pytanie, czy rozmawiał właśnie z handlowcem sprzedającym certyfikaty SSL. Mimo, iż samo wdrożenie SSLa nie nie daje tzw. boosta w SEO – jego wpływ może w przyszłości się zmienić. Google stale pracuje nad bezpieczeństwem, wydajnościami swoich serwerów itd. Warto wdrożyć SSL-a i nie martwić się o negatywny wpływ jego braku w kontekście widoczności.
Kolejnym ważnym argumentem przemawiającym za wdrożeniem certyfikatu SSL jest bezpieczeństwo przesyłanych danych. Nie tylko samo prawdopodobieństwo wycieku tych danych, ale i budowa zaufania w oczach potencjalnych klientów. Większość z nas, gdy stoi przed koniecznością podania swoich danych - zanim tego dokona - upewnia się, czy strona posiada aktywny i ważny certyfikat SSL.
FAQ
Jak sprawdzić ważność certyfikatu SSL?
Chcąc sprawdzić, czy protokół SSL jest ważny i nie wymaga aktualizacji, wystarczy w miejscu paska adresu przeglądarki kliknąć wspominaną w tym artykule kłódkę. Następnie klikając opcję szczegóły, wyświetlą Ci najważniejsze informacje na temat certyfikatu.
Jak sprawdzić, czy strona internetowa ma certyfikat SSL?
Jeżeli zależy Ci na sprawdzeniu, czy dana platforma internetowa posiada certyfikat SSL, wystarczy, że klikniesz kłódkę znajdującą się w polu adresu lub "https". Dzięki takiemu zabiegowi, bez problemu poznasz szczegóły i uzyskasz informację, czy strona internetowa ma certyfikat.
Copywriter/dziennikarz
Senior SEO specjalista w agencji Digone