Logo Crossweb

Logowanie

Nie masz konta? Zapomniałem hasła

Przypomnij hasło

close Wypełnij formularz.
Na Twój adres e-mail zostanie wysłane link umożliwiający zmianę hasła.
Wyślij

Nie płać za certyfikaty SSL! Kłódkę przy adresie możesz mieć za darmo

Mateusz Mazurek, 12 maja 2021
Nie płać za certyfikaty SSL! Kłódkę przy adresie możesz mieć za darmo

Certyfikat SSL to jeden z kluczowych filarów bezpieczeństwa strony internetowej. Brak kłódki i protokołu HTTPS przy adresie jest sygnałem ostrzegawczym dla odwiedzających oraz wiąże się z ograniczeniem widoczności witryny w wyszukiwarkach. A certyfikat SSL można przecież mieć za darmo – i to wcale nie gorszy od wersji płatnych.


Chyba nie muszę Cię przekonywać, że strona powinna mieć ważny certyfikat SSL. To istotne zarówno dla odwiedzających (poczucie bezpieczeństwa), jak i wyszukiwarek (posiadanie SSL jako jeden z elementów oceny jakości strony przez algorytmy Google).


Protokół SSL weryfikuje domenę w przeglądarce odwiedzającego. Dzięki temu możliwe jest nawiązanie bezpiecznego połączenia za pośrednictwem HTTPS – chroniącego przesyłane dane przed nieautoryzowanym dostępem czy przechwyceniem. Jeżeli strona posiada certyfikat SSL, to przy jej adresie pojawia się kłódka oraz przedrostek HTTPS – w związku z tym odwiedzający już na pierwszy rzut oka widzi, że witryna jest bezpieczna.


Certyfikaty SSL mogą kosztować naprawdę sporo. Najdroższe nawet kilkaset złotych rocznie. Prawda jest jednak taka, że darmowe wersje są w zupełności wystarczające, żeby zadbać o bezpieczeństwo strony internetowej.


Darmowy SSL – gdzie tkwi haczyk?


Certyfikaty SSL dzielą się na:


  • DV – weryfikuje domenę. Certyfikat tego typu potwierdza, że podmiot lub osoba, która stara się o certyfikat, ma prawo do posługiwania się daną domeną (właścicieli domeny).
  • OV – weryfikuje organizację. Oprócz ochrony na poziomie DV, w tym wypadku instytucja certyfikująca weryfikuje także dane organizacji starającej się o wydanie certyfikatu. W praktyce jest to np. sprawdzenie firmy w CEIDG czy KRS.
  • EV – rozszerza weryfikację. Do jego uzyskania – oprócz procedury przeznaczonej dla typu EV – konieczne jest także np. przeprowadzenie rozmowy weryfikacyjnej. Taki certyfikat wiąże się też z większą ochrona gwarancyjną.


Darmowe certyfikaty SSL zawsze są typu DV. Czy są gorsze od swoich płatnych odpowiedników? Po prostu spełniają one podstawowe funkcje, których wymaga się od tego typu certyfikatów. Nie robią tego ani lepiej, ani gorzej. Z technicznego punktu widzenia są to pełnoprawne certyfikaty typu DV.


Taki sam wygląd


Wydaje Ci się, że darmowy certyfikat SSL będzie gorzej prezentował się w przeglądarce? Warto zauważyć, że od jakiegoś czasu nie stosuje się już zielonego paska adresu - więc ten argument nie ma już zastosowania. Strona z płatnym SSL nie będzie różnić się niczym konkretnym od tej opartej na bezpłatnej wersji protokołu.


Sprawdź to sam i uruchom stronę banku, instytucji finansowej czy zwykłą firmową witrynę zabezpieczoną bezpłatnym certyfikatem. Wszystkie wyglądają tak samo. Dopiero po kliknięciu w samą kłódkę i po rozszerzeniu informacji, możesz uzyskać z nich inne informacje – np. dane firmy we wspomnianych certyfikatach OV i EV. To jednak funkcja, z której korzysta mały ułamek odwiedzających.



Jak widzisz, strona rządowa z rozszerzoną walidacją nie różni się od strony z darmowym Let’s encrypt


Co z długością certyfikatu?


Certyfikaty SSL są wystawiane na określony czas. W przypadku płatnych certyfikatów jest to najczęściej (i maksymalnie) 1 rok. W przypadku bezpłatnych odmian, faktycznie długość jest znacznie krótsza, bowiem są to zaledwie 3 miesiące.


Jednak niekoniecznie działa to na niekorzyść darmowego certyfikatu. Istnieje bowiem możliwość ustawienia jego automatycznego odnowienia. W konsekwencji zachowana jest ciągła ochrona strony.


Gwarancja


Gdyby dopatrywać się haczyków w wersji bezpłatnej, to jest to widoczne jedynie w obszarze ochrony gwarancyjnej. Podczas gdy płatne certyfikaty oferują gwarancję z określonym pułapem finansowym, to darmowe wersje nie dają takiej obietnicy.


Jeżeli zabezpieczenie połączenia zostanie złamane i będzie to wina niedostatecznej ochrony certyfikatu SSL, to możesz ubiegać się o odszkodowanie. Ile ono wynosi i jak dochodzić swoich praw? To już zależy od umowy z instytucją wydającą certyfikat.


Gwarancje takie są obwarowane często wieloma dodatkowymi zastrzeżeniami i dotyczą specyficznych sytuacji – np. kradzieży pieniędzy z karty kredytowej w wyniku nieprawidłowego wydania certyfikatu, których prawdopodobieństwo jest w praktyce znikome.


Kiedy wybrać płatny SSL?


Zastanów się, do czego potrzebny jest Ci certyfikat SSL. Czy chodzi tylko o możliwość korzystania z protokołu HTTPS i brak monitów bezpieczeństwa z Google? W takim wypadku ochrona typu DV w zupełności wystarcza. A jeżeli potrzebna jest wyłącznie ochrona na poziomie DV, wersja bezpłatna poradzi sobie tak samo dobrze, jak płatna.

Strony firmowe, hobbystyczne, blogi, sklepy internetowe – w tych wszystkich sytuacjach darmowy SSL będzie w zupełności wystarczający.


Oczywiście nie jest tak, że płatne certyfikaty to zawsze niepotrzebny wydatek. Komercyjne certyfikaty przydadzą się, gdy:


  • potrzebujesz szerszej weryfikacji domeny – np. OV i EV. W takiej sytuacji weryfikowana jest nie tylko domena, ale także jej administrator;
  • obliguje Cię do tego prawo i dobre praktyki – np. bank czy instytucja finansowa
  • użytkownicy Twojej strony używają starego (naprawdę starego) oprogramowania, które nie wspiera SNI – technologii wykorzystywanej przez darmowe certyfikaty, a w konsekwencji nie rozpoznaje bezpłatnego SSL. Pamiętaj jednak, że mowa tutaj o naprawdę starych środowiskach, jak Android poniżej 3. generacji czy Internet Explorer poniżej 6. generacji.



Rozszerzona walidacja obejmuje także informacje o organizacji w szczegółach certyfikatu


W zasadzie tylko takie sytuacje sprawiają, że warto inwestować w płatny SSL. W innych wypadkach jest on zupełnie niepotrzebnym wydatkiem. Pieniądze zaoszczędzone na certyfikacie SSL lepiej spożytkujesz np. wybierając hosting o mocniejszych parametrach. Korzystając z lepszego serwera faktycznie możesz zauważyć różnice w funkcjonowaniu strony, a przy płatnym certyfikacie SSL jest to wyłącznie niepotrzebny koszt.


Jaki z tego wniosek? Jeżeli w dalszym ciągu nie zabezpieczasz strony certyfikatem SSL, to robisz spory błąd. Skoro możesz to mieć za darmo, co Cię powstrzymuje? Przekreślona kłódka z monitem „strona niezabezpieczona” zawsze źle się kojarzy – szkodzi wizerunkowi strony oraz jej widoczności w wyszukiwarce.


A co w sytuacji, gdy hosting nie umożliwia skorzystania z darmowej wersji certyfikatu SSL, zachęcając jednocześnie do zakupu płatnych wersji? No cóż – w takiej sytuacji warto poszukać innego serwera.


--

Wystawcy darmowych certyfikatów SSL: Let’s Encrypt, ZeroSSL.


Poradnik: Jak wybrać hosting wspierający darmowy SSL?


Autor: Mateusz Mazurek. Przedsiębiorca internetowy i autor blogów. Twórca porównania najlepszych hostingów w ramach którego testuje, sprawdza i recenzuje i pomaga wybrać usługi hostingowe. Autor poradników dla webmasterów.

--

Szukasz pracy w IT? Sprawdź nasze najnowsze oferty pracy





Blog - najnowsze wpisy