Certyfikaty SSL. Rodzaje certyfikatów, gdzie kupić certyfikat - poradnik

Protokół SSL wraz z certyfikatem cyfrowym niegdyś zarezerwowany był dla stron dużych firm i instytucji. Dziś stał się już w zasadzie branżowym standardem używanym do zabezpieczania komunikacji na stronach WWW i w serwerach internetowych.

SSL był niemal od zawsze stosowany przez banki, sklepy internetowe i aplikacje sieciowe do ochrony danych logowania, z formularzy, numerów kart kredytowych i innych wrażliwych danych przesyłanych przez sieć. Protokół SSL pełni trzy zasadnicze funkcje w procesie zabezpieczania komunikacji: zapewnia poufność przesyłanych informacji przez ich szyfrowanie, pozwala zweryfikować tożsamość stron komunikacji oraz gwarantuje integralność otrzymanych danych.

Protokół SSL wymusza szyfrowanie danych w trakcie przesyłania ich przez sieć silnymi algorytmami kryptograficznymi, chroniąc całą komunikację między serwerem a przeglądarką użytkownika przed podsłuchaniem. Co więcej, certyfikat SSL poświadcza, że serwer, z którym nawiązano połączenie, jest tym, za który się podaje. W ten sposób technologia HTTPS chroni przed podszywaniem i wszelkiego rodzaju próbami wyłudzeń danych do konta e-mail, serwisu bankowego albo portalu społecznościowego. W końcu SSL zapewnia integralność przesyłanych danych, gwarantując, że nie zostały one podmienione w trakcie transmisji.

Nazwa.pl wyznacza standardy bezpieczeństwa

Certyfikat SSL stał się niemal obowiązkowym zabezpieczeniem dla każdego właściciela strony WWW. Wszystko za sprawą Google Chrome i innych czołowych przeglądarek, które oznaczają jako niebezpieczne strony, które go nie posiadają. W dodatku brak SSL zaniża wyniki pozycjonowania w wyszukiwarce Google. Mimo to zaledwie 30% stron internetowych w Polsce jest poprawnie zabezpieczonych certyfikatem SSL.

Rozwiązanie chroniące swoich klientów i ich użytkowników zaproponowała nazwa.pl, generując komercyjny certyfikat SSL DV dla ponad 600 tys. domen. Wprowadzone masowo dla klientów nazwa.pl certyfikaty nazwaSSL DV oprócz pozytywnego wpływu na bezpieczeństwo transakcji i wyniki wyszukiwania przyczyniły się także do przyspieszenia działania stron WWW klientów firmy. Chroniąc domeny przy pomocy nazwaSSL DV, firma wdrożyła także protokół HTTP/2, który przyspiesza działanie serwisów WWW kilkukrotnie. Według badania przeprowadzonego na początku września przez serwis top100.wht.pl komercyjne certyfikaty od nazwa.pl chronią ponad 60% zabezpieczonych polskich stron WWW.

Oprócz popularnej zielonej kłódki ważnym zabezpieczeniem domeny jest protokół DNSSEC oraz najnowsza wersja rozwiązania TLS 1.3. Brak tych zabezpieczeń można porównać z sytuacją, w której zamykamy drzwi frontowe, ale zapominamy o tylnym wejściu, a na dodatek uchylimy okno na parterze. Kompleksowość zabezpieczeń ma ogromne znaczenie, dlatego warto wybierać dostawcę gwarantującego całościowe rozwiązanie w tym zakresie.

Nazwa.pl kompleksowo troszczy się o bezpieczeństwo swoich klientów. Każdy obecny i nowy klient ma dostęp do pakietu Bezpieczna Domena w nazwa.pl. Korzyści dotyczą zarówno użytkowników, którzy korzystając z danej witryny, mogą czuć się bezpiecznie, jak i właścicieli domeny, którzy zyskują zaufanie swoich klientów oraz sprawnie i bezpiecznie działającą usługę. Lepsze wyniki w wyszukiwarce Google oraz prawidłowe wyświetlanie witryny i błyskawiczne jej ładowanie to tylko niektóre z plusów, jakie niesie za sobą zakup domeny w nazwa.pl.

Krzysztof Cebrat, prezes zarządu nazwa.pl

Po co komu certyfikat SSL

Wdrożenie certyfikatu ma ważny wymiar praktyczny. Przeglądarka Chrome od wersji 68 oznacza wszystkie niechronione certyfikatem SSL strony jako „Niezabezpieczone”. Taki komunikat nie wzbudza zaufania użytkowników, co w praktyce oznacza ucieczkę ze strony, a w przypadku sklepów internetowych – rezygnację z zakupu i utratę klienta. Jak donosi serwis bluecorona.com, aż 84% użytkowników porzuci koszyk zakupów, jeśli dane będą przesyłane w sposób niezabezpieczony, co mogłoby istotnie wpłynąć na bezpieczeństwo transakcji.

To nie pierwszy raz, kiedy Google daje twórcom i właścicielom stron WWW jasny sygnał, że tylko drastyczne ruchy w postaci usunięcia obsługi wtyczek (Java, Silverlight), czy teraz wymuszenie stosowania certyfikatów SSL, mogą przyczynić się do istotnego podniesienia bezpieczeństwa wszystkich użytkowników internetu.

Nazwa organizacji na zielonym pasku adresu to informacja dla odwiedzających, że dana witryna należy do prawowitego właściciela, jest poprawnie zabezpieczona i gwarantuje pełne bezpieczeństwo przesyłanych informacji

Nazwa organizacji na zielonym pasku adresu to informacja dla odwiedzających, że dana witryna należy do prawowitego właściciela, jest poprawnie zabezpieczona i gwarantuje pełne bezpieczeństwo przesyłanych informacji

Ten proces dzieje się na naszych oczach. Można przypuszczać, że konkurenci pójdą śladem Google i wkrótce podobne ostrzeżenia pojawią się w najnowszych wersjach innych przeglądarek. Dzisiaj w Firefoksie informacja o niezabezpieczonej stronie przekazywana jest w formie subtelnego symbolu graficznego. Póki co.

Strona zabezpieczona certyfikatem SSL jest lepiej pozycjonowana w wyszukiwarce Google. Pierwsze wzmianki o tym, że algorytm Google faworyzuje strony dostępne w protokole HTTPS, pojawiły się już w 2014 roku. Jeśli zatem wydajemy pieniądze na SEO, kwestia wdrożenia certyfikatu SSL w witrynie wydaje się być pierwszym krokiem ku wyższym wynikom w wyszukiwarce Google. Co więcej, Google w rankingu bierze pod uwagę również szybkość wczytywania się stron. Witryna udostępniona w protokole HTTP/2 i zabezpieczona certyfikatem SSL ładuje się szybciej niż dotychczas.

Wreszcie – RODO. Nowe unijne przepisy wymuszają zabezpieczenie danych osobowych przez szyfrowanie w momencie ich zbierania i przetwarzania, a za takie możemy uznać nawet adres e-mail używany do logowania się do aplikacji webowej. Znaczenia danych z formularza zakupowego nie trzeba wyjaśniać. W tym kontekście certyfikat SSL używany do zabezpieczenia serwisu WWW staje się narzędziem, które zbliża nas do spełnienia wymagań stawianych przez regulacje RODO.

Typy certyfikatów SSL

Na rynku dostępne są trzy typy certyfikatów SSL do ochrony serwerów internetowych: z walidacją domeny (Domain Validation, DV), z walidacją organizacji (Organization Validation, OV) oraz z rozszerzoną walidacją podmiotu, dla którego wystawiany jest certyfikat (Extended Validation, EV). Zasadnicze różnice miedzy tymi typami dotyczą: sposobu walidacji osoby lub organizacji, która wnioskuje o wydanie certyfikatu, poziomu zaufania wzbudzanego u użytkowników, sposobu prezentacji certyfikatu w przeglądarce internetowej, czasu wydania, gwarancji finansowych oraz ceny.

  • Certyfikat z walidacją domeny (DV) to podstawowy typ certyfikatu, który gwarantuje pełne bezpieczeństwo, poufność i integralność transmisji danych zapewniane przez technologię SSL, ale nic nie mówi o właścicielu, który się nim posługuje. W certyfikacie DV zapisana jest jedynie informacja o domenie, którą chroni.
  • Certyfikat z walidacją organizacji (Organization Validation, OV) potwierdza, że „tożsamość” podmiotu, dla którego wystawiono certyfikat, została potwierdzona przez zaufane centrum certyfikacyjne. Dzięki temu dane organizacji mogą być zawarte w certyfikacie, a użytkownik może je po prostu wyświetlić i zweryfikować.
  • Certyfikat z rozszerzoną walidacją podmiotu (Extended Validation, EV) stawiany jest poziom wyżej i gwarantuje, że podmiot wnioskujący został poddany jeszcze bardziej szczegółowej weryfikacji. Cechą charakterystyczną certyfikatu EV jest wyświetlanie nazwy firmy, dla której wystawiono certyfikat, na zielonym polu w pasku adresu przeglądarki internetowej. To wyraźny przekaz dla odwiedzających, że dana witryna należy do prawowitego właściciela, jest poprawnie zabezpieczona i gwarantuje pełne bezpieczeństwo przesyłanych informacji.

Typ certyfikatuDomain Validation (DV, z walidacją domeny)Organization Validation (OV, z walidacją organizacji)Extended Validation (EV, z rozszerzoną walidacją organizacji)
Przeznaczenieprywatne strony internetowe, wewnętrzne portale korporacyjne, blogi i fora, małe sklepy internetowemałe i średnie sklepy internetowe, strony firmowe, portale internetowe, serwery poczty i baz danychbanki i instytucje finansowe, średnie i duże sklepy internetowe, strony firmowe, serwisy i portale internetowe, administracja publiczna, obsługa medyczna"
Koszt zakupuniewielkiśrednipowyżej średniej
Ważność1-10 lat1-10 lat1-2 lata
Czas wydawania certyfikatudo 1 godziny1-7 dnido 10 dni
Proces walidacjiweryfikacja prawa do domenyweryfikacja prawa do domeny oraz danych rejestrowych firmyweryfikacja prawa do domeny, danych rejestrowych firmy, innych dokumentów firmy oraz tożsamości osoby wnioskującej o wydanie certyfikatu
Informacje zawarte w certyfikacienazwa domenynazwa domeny, nazwa organizacjinazwa domeny, nazwa organizacji
Zielone oznaczenie na pasku adresu w przeglądarcenienietak
Nazwa organizacji na pasku adresunienietak
Pieczęć wydawcy certyfikatutaktaktak
Certyfikaty typu wildcardtaktaknie
Certyfikaty typu multidomaintaktaktak
Gwarancje finansoweniskiewysokiebardzo wysokie