Posted inSEO

Certyfikat SSL dla strony internetowej — po co jest potrzebny i gdzie go zdobyć? Chronimy dane użytkowników!

Pozwólcie zacytować kilka linijek z Wikipedii:

HTTPS (HyperText Transfer Protocol Secure) — rozszerzenie protokołu HTTP, które wspiera szyfrowanie. Zapewnia ochronę przed atakami opartymi na podsłuchiwaniu połączenia sieciowego, pod warunkiem użycia narzędzi szyfrujących oraz sprawdzenia i zaufania certyfikatowi serwera. Aby przygotować serwer WWW do obsługi połączeń https, administrator musi uzyskać i zainstalować certyfikat dla tego serwera WWW. Centrum certyfikacji, podpisując, weryfikuje klienta, co pozwala mu zagwarantować, że posiadacz certyfikatu jest tym, za kogo się podaje (zwykle jest to płatna usługa).

Wikipedia

Prościej mówiąc, gdy wchodzisz na stronę z https, wszystkie dane przesyłane w przeglądarce są szyfrowane i nawet jeśli przechwyci je intruz, nigdy nie będzie w stanie ich odszyfrować bez klucza prywatnego, znanego tylko właścicielowi certyfikatu.

Korzystając z dowolnej strony internetowej, która przechowuje i wykorzystuje dane osobowe, a tym bardziej takiej, która zakłada płatności i inne transakcje finansowe, powierzasz jej swoje informacje i chcesz, aby były bezpieczne.

Stronie możesz ufać, ale jeśli korzystasz z Internetu w miejscu publicznym (lotnisko, kawiarnia lub dowolny inny darmowy hotspot Wi-Fi), czy jesteś pewien, że nikt nie podsłuchuje połączenia? Nawiasem mówiąc, ktoś może podsłuchiwać również domowy Internet, jeśli ma dostęp fizyczny do routera. Cześć darmowe sąsiedzkie Wi-Fi?!

Ale nawet tutaj właściciele stron mogą cię uratować. Oczywiście za pomocą bezpiecznego połączenia HTTPS. Ja, jako jeden z założycieli serwisu CheckTrust, troszczę się o was, przyjaciele, i chcę, abyście czuli się spokojnie. I zrobimy wszystko, co możliwe, aby to osiągnąć!

Ale dość liryki. Jak już zrozumiałeś, aby umożliwić połączenie HTTPS, musisz mieć specjalny certyfikat SSL i zainstalować go na serwerze, na którym znajduje się strona. Właśnie tym musiałem się zająć kilka dni temu. A ponieważ nie miałem nawet pojęcia, czym jest certyfikat SSL, gdzie go zdobyć, ile kosztuje i jak go aktywować, zacząłem się zastanawiać.

Zajęło mi to cały dzień pracy, a potem jeszcze cały dzień na usuwanie nieoczekiwanych błędów. Uznałem, że warto wam o tym opowiedzieć.

Po pierwsze, będziesz chciał się dowiedzieć, co to za certyfikaty i do czego służą. Nikogo nie zdziwię, jeśli powiem, że wystarczy wpisać w Google „certyfikat ssl”. Zobaczysz słowa „rodzaje”, „odmiany”, „jak wybrać”, „porównanie” i stanie się jasne, że to nie jest takie proste. Czytając kilka artykułów, znajdziesz informacje, że istnieją 3 typy certyfikatów, że są one wydawane przez specjalne centra certyfikacji i które z nich są największe.

Co to jest, do czego służy i dlaczego jest tak ważny?

Nie było łatwo zdecydować o rodzaju certyfikatu SSL, ponieważ oprócz weryfikacji samej domeny, chciałem czegoś więcej — potwierdzenia danych właściciela.

Interesuje mnie certyfikat SSL. Przeczytałem, że istnieją różne rodzaje certyfikatów z różnym poziomem weryfikacji. Są bardzo proste z weryfikacją tylko domeny. Są też z weryfikacją organizacji i innych danych.

Chciałbym coś „mocniejszego” niż tylko weryfikacja domeny. Ale nie mam organizacji, być może najlepiej nadaje mi się tylko weryfikacja domeny i najprostszy certyfikat?

Bardzo szybko otrzymałem wyczerpującą odpowiedź:

Różnica między tymi certyfikatami polega na tym: Proste (Domain Validation, DV) — w certyfikacie podana jest tylko domena. Z weryfikacją firmy (Organization Validation, OV) — podana jest domena i nazwa firmy. Z rozszerzoną walidacją (Extended Validation, EV) — zielony pasek adresu w przeglądarce, nazwa firmy w nim, w certyfikacie również domena i nazwa firmy.

Jednak siła szyfrowania jest taka sama.

Certyfikaty EV zasadniczo nie są wydawane osobom fizycznym. Proces weryfikacji nawet dla firm jest dość skomplikowany. Certyfikaty OV teoretycznie możliwe dla osób fizycznych, ale proces walidacji jest znacznie bardziej skomplikowany niż w przypadku osób prawnych. Opis procesu można znaleźć np. na stronie Comodo. Link prowadzi do dokumentu z opisem (w języku angielskim) — należy go wypełnić (formularz na 3 stronie), potwierdzić u notariusza i wysłać mailem.

Ponadto w pliku znajduje się lista dokumentów, które akceptują.

  1. Paszport
  2. Dokument z instytucji finansowej:
  • międzynarodowa karta płatnicza lub karta debetowa, jeśli mają datę ważności i nie upłynęła, lub
  • wyciąg z konta bankowego nie starszy niż 6 miesięcy
  1. Dokument pozafinansowy:
  • rachunek za media lub
  • poświadczona kopia aktu urodzenia lub
  • zeznanie podatkowe za ostatni rok lub
  • poświadczona kopia dokumentu sądowego, np. orzeczenie rozwodowe, orzeczenie stwierdzające nieważność małżeństwa lub dokumenty adopcyjne.

Oznacza to, że jeśli zdecydujesz się zajmować tymi dokumentami, poniesiesz dodatkowe koszty notarialne. Jednocześnie centra certyfikacji nie gwarantują, że certyfikat zostanie wydany. Ponadto certyfikat na stronie nie będzie się różnił od zwykłego, różnica dotyczy tylko nazwy firmy w certyfikacie, a niestety nie wszyscy użytkownicy wiedzą, jak to sprawdzić.

Dlatego najlepiej zamówić certyfikat z weryfikacją tylko domeny, a aby użytkownicy widzieli, że strona jest bezpieczna, dodać dodatkową pieczęć bezpieczeństwa.

Niemniej jednak, nawet wśród prostych certyfikatów istnieją różnice. Na przykład Thawte uważany jest za certyfikaty wyższej klasy, ponieważ dokładniej weryfikuje klienta niż Comodo. Jednocześnie Comodo jest bardziej popularny, ponieważ znacznie tańszy.

Co ja zdecydował?

Zdecydowałem, że formalności z dokumentami i dodatkowe koszty są mi niepotrzebne, więc zatrzymałem się na jedynym dostępnym dla osoby fizycznej wariancie — prostym certyfikacie SSL z weryfikacją domeny.

W trakcie przygotowań i zakupu pojawiały się różne trudności i pytania, na szczęście na końcu wiadomości e-mail z działu pomocy technicznej był Skype wspaniałej dziewczyny Julii, która zgodziła się mi pomóc i cierpliwie odpowiadała na wszystkie moje pytania i pomagała rozwiązywać problemy. A po zakupie nawet pomogła sprawdzić ważność zainstalowanego certyfikatu, w wyniku czego wykryto poważny problem, ale o tym później. W skrócie, bardzo spodobała mi się nasza rozmowa i zaproponowałem Julii udział w napisaniu tego posta.

Dlatego nie będę przeciągał i oddaję głos Julii, opowie wam o tym, do czego służą certyfikaty SSL, jak wygląda proces weryfikacji dla różnych typów certyfikatów SSL i w jakich przypadkach najlepiej je stosować.

Oddaję głos Julii!

Drodzy Czytelnicy, mam nadzieję, że poniższe informacje okażą się dla Was przydatne i pomogą zdecydować o certyfikacie SSL, gdy pojawi się takie zadanie. Tym bardziej, gdy w świetle ostatnich wydarzeń (a mianowicie po wykryciu podatności Heartbleed) zaczęły krążyć plotki, że w przyszłości obecność certyfikatów SSL na stronach komercyjnych znajdzie się na liście czynników rangowania i będzie pozytywnie oceniana w wyszukiwarce Google. Firma nie złożyła oficjalnego oświadczenia, chociaż na konferencji SMX West 2014 Matt Cutts wyraził chęć widzenia szyfrowanego połączenia jako części nowego algorytmu (przyp. publikacja o tym w searchengineland). Pozostaje nam na razie śledzić aktualności.

Chciałabym zacząć od tego, że certyfikaty SSL są używane do ochrony przesyłanych informacji w najróżniejszych dziedzinach: podczas interakcji z klientami (rejestracja i logowanie na stronie, przesyłanie danych od klienta na serwer, płatności kartami kredytowymi), przesyłanie poufnych danych w intranecie, zapewnienie bezpiecznej komunikacji między pracownikami pracującymi zdalnie, ochrona aplikacji i serwerów pocztowych. Oprócz funkcji ochronnej należy zwrócić uwagę na fakt, że obecność certyfikatu SSL na stronie pozytywnie wpływa na zaufanie odwiedzających i może dodatkowo zmotywować użytkownika do podjęcia określonego działania na stronie (na przykład rejestracji lub finalizacji zakupu).

Jak Freeman zauważył na początku artykułu, rzeczywiście istnieje ogromna liczba certyfikatów, dlatego podzieliliśmy je na podkategorie, aby łatwiej było się zorientować.

Z jednej strony dzielimy certyfikaty SSL w zależności od liczby chronionych domen:

  1. jedna domena — chroni połączenie z jedną nazwą domeny, na przykład możesz zamówić go dla domeny moja-strona.pl lub dla subdomeny platnosci.moja-strona.pl, ochronie podlega dokładnie ta wskazana podczas zamawiania. Stosowany dla prostych stron internetowych lub oddzielnych sekcji witryn.
  2. Domena i wszystkie jej subdomeny — certyfikaty typu Wildcard, które chronią nazwę domeny i wszystkie subdomeny niższego poziomu. Zamawiając taki certyfikat SSL, ważne jest podanie nazwy strony w formacie *.moja-strona.pl, wtedy w miejscu gwiazdki może znaleźć się dowolna istniejąca i przyszła subdomena Twojej strony.
  3. Kilka domen – certyfikat Multi Domain może zaoszczędzić Twój czas na zamówienie, instalację i zarządzanie, ponieważ obejmuje wszystkie wskazane podczas składania zamówienia domeny i/lub subdomeny. Najczęściej stosowany na serwerach pocztowych lub przez właścicieli kilku domen.

Z drugiej strony istnieją różne rodzaje walidacji klienta w celu uzyskania danego certyfikatu SSL, które następnie określają poziomy „prestiżu” certyfikatów:

Weryfikacja domeny

  1. Weryfikacja domeny – odpowiednia dla osób fizycznych i prawnych, polega na potwierdzeniu zamówienia za pomocą adresu e-mail administratora lub za pomocą żądania http. Najlepiej nadaje się dla małych stron bez płatności online, do użytku wewnętrznego, do ochrony aplikacji iframe, czyli w przypadkach, gdy ważne jest zapewnienie bezpiecznego przesyłu danych, ale użytkownikowi nie musi być wiadome, do jakiej firmy należy chroniona strona.
  2. Weryfikacja firmy – wydawana bez problemu podmiotom gospodarczym, w tym celu oprócz potwierdzenia pocztą e-mail, należy przejść weryfikację telefoniczną. Proces ten nie sprawia większych trudności, gdy w zamówieniu, w danych dotyczących domeny i w książce telefonicznej zgadza się nazwa i adres firmy. Osobom fizycznym tego typu certyfikaty teoretycznie również są wydawane, jednak praktycznie procedura jest dość skomplikowana, ponieważ wymagany jest szereg dokumentów poświadczonych przez notariusza. Certyfikat SSL z weryfikacją firmy zawiera nazwę firmy i jest stosowany w przypadkach, gdy konieczne jest nie tylko zabezpieczenie połączenia, ale także wskazanie, kto jest właścicielem certyfikatu. Na przykład jest to bardzo ważne w przypadku certyfikatów programisty do podpisywania kodu, a także gdy certyfikat SSL jest wystawiany na adres IP lub gdy właściciel witryny chce dać odwiedzającym możliwość sprawdzenia, czy strona należy do jego firmy (w tym celu należy kliknąć na kłódkę na pasku adresu i wyświetlić właściwości certyfikatu SSL).
  3. Rozszerzona weryfikacja firmy, oprócz wyżej wymienionych metod weryfikacji pocztą e-mail i telefonicznie, obejmuje sprawdzenie dokumentów prawnych firmy i wymaga oficjalnego oświadczenia i umowy z centrum certyfikacji dotyczącej wydania danego certyfikatu SSL. Certyfikaty EV (od Extended Validation – rozszerzona walidacja) są wydawane wyłącznie podmiotom gospodarczym. Cechą charakterystyczną certyfikatów SSL z EV jest zabarwienie paska adresu przeglądarki na zielono, ponadto pojawia się w nim nazwa firmy. Te cechy wyróżniają stronę spośród konkurencji i przyciągają uwagę odwiedzających, dlatego ten typ certyfikatów SSL idealnie sprawdza się w sklepach internetowych, instytucjach finansowych, systemach płatności, czyli wszędzie tam, gdzie zaufanie klientów ma kluczowe znaczenie.

Dla bloga SEO warto byłoby również poruszyć kwestię tego, jak przejście na https:// wpływa na pozycjonowanie strony. Przede wszystkim chcę zauważyć, że John Mueller (Google) poinformował, że strony chronione certyfikatem SSL są pozycjonowane dokładnie tak samo, jak zwykłe strony http://. Niemniej jednak, aby uniknąć problemów z wyszukiwarkami po instalacji certyfikatu SSL, należy uwzględnić następujące czynniki:

Prędkość ładowania.

Hosting, na którym znajduje się Twoja strona, musi sobie radzić z dodatkowym obciążeniem przy połączeniu SSL, ponieważ szybkość ładowania jest jednym z czynników rangowania w wyszukiwarkach. Strona chroniona certyfikatem SSL wymaga więcej zasobów niż zwykła, ponieważ połączenie przez protokół https jest szyfrowane. Dlatego ważne jest uwzględnienie tego zjawiska podczas instalacji certyfikatu SSL.

Przekierowanie 301.

Wyszukiwarki cenią unikalną zawartość na stronie internetowej, więc ważne jest upewnienie się, że cała zawartość witryny na http:// jest przekierowywana za pomocą prostego przekierowania 301 na odpowiednią stronę z https://. Jeśli pominiesz ten krok i nie skonfigurujesz przekierowania, może to negatywnie wpłynąć na postrzeganie witryny przez wyszukiwarki, ponieważ strony te są rozpoznawane jako dwie różne witryny z identyczną zawartością.

Narzędzia dla webmasterów.

Z tego samego powodu należy dodawać wersję strony na https:// oddzielnie jako nową witrynę w narzędziach dla webmasterów. Ponadto, biorąc pod uwagę coraz większe wymagania dotyczące bezpieczeństwa i prywatności danych w najbliższych latach, można spodziewać się, że certyfikaty SSL staną się standardem dla każdej poważnie myślącej o swojej reputacji witryny internetowej. Już teraz widzimy, że użytkownicy coraz uważniej sprawdzają, czy strona korzysta z szyfrowanego protokołu https i czy jest zabezpieczona certyfikatem. Brak „kłódki” przy adresie może budzić podejrzenia i powstrzymywać przed podaniem danych osobowych czy dokonaniem płatności. Dlatego w nadchodzących latach 2023-2024 można spodziewać się, że każdy poważny, dbający o reputację projekt internetowy będzie musiał wdrożyć certyfikat SSL, aby sprostać rosnącym wymaganiom użytkowników i pozostać konkurencyjnym.

Prawdopodobnie to były najważniejsze informacje, które mogą się przydać przy wyborze i dalszym korzystaniu z certyfikatu SSL. Oczywiście zdarza się wiele niuansów i indywidualnych wymagań, takich jak ochrona wersji strony z www. i bez, używanie jednego certyfikatu na kilku fizycznych serwerach czy obsługa wysokiego poziomu szyfrowania przez przestarzałe przeglądarki, ale lepiej rozważać je w każdym indywidualnym przypadku, podobnie jak kwestie instalacji i usuwania błędów.

Wnioski

Dziękuję bardzo Julii za szczegółowy opis rodzajów certyfikatów i przydatne informacje. Mam nadzieję, że się przydadzą, gdy kwestia ochrony Twojej strony stanie się aktualna. Możesz zadawać swoje pytania bezpośrednio w komentarzach. Przypomnę, że Julia jest przedstawicielem firmy „Emaro”, gdzie kupiłem mój certyfikat, więc polecam. Ale chciałbym dodać jeszcze jedną ważną rzecz.

Julia powiedziała, że w Google chcą widzieć obecność https jako jeden z czynników rankingu, ale Yandex też nie jest wyjątkiem. Po zniesieniu linków dla komercyjnych zapytań stało się popularne mówienie o tak zwanych czynnikach komercyjnych. Po raz pierwszy wspomniano o nich kilka lat temu, ale jakoś szczególnie aktywnie zaczęto o nich przypominać niedawno. Otóż oprócz oczywistych kwestii, takich jak kontakt, asortyment, szczegółowa karta produktu, dostawa, konsultant online, brak reklam itp., gdzieś słyszałem o protokole https dla koszyka zakupowego klienta lub nawet dla całej witryny sklepu. Nie ma na to potwierdzenia, ale z pewnością warto o tym wiedzieć i pamiętać!

Dopiero gdy sam osobiście zetknąłem się z certyfikatami SSL i ochroną danych, zrozumiałem, jak ważne to naprawdę jest. I gdy wcześniej mógłbym powiedzieć, że obecność połączenia https tam, gdzie jest to właściwe, to bonus, to teraz powiem inaczej – brak połączenia https tam, gdzie przechowywane są dane osobowe i mają miejsce transakcje, to wada!