Wszystko o certyfikatach SSL [FAQ]: 33 pytania o odpowiedzi

1. Co to jest certyfikat SSL?

Certyfikat SSL jest rodzajem zabezpieczenia przesyłu danych w Internecie. Pozwala na bezpieczny transfer informacji pomiędzy przeglądarkami i serwerami, ponieważ poświadcza o wiarygodności domeny i lub domeny i jej właściciela. Aktywny certyfikat SSL jest informacją dla użytkowników, że adres przeglądanej strony jest prawdziwy, a dane przekazywane np. za pośrednictwem formularza, będą chronione. To, czy strona WWW posiada zainstalowany certyfikat SSL, poświadcza ikona kłódki z lewej strony adresu.

Certyfikat SSL wykorzystuje protokół SSL/TSL i działa na zasadzie kluczy szyfrujących, co oznacza, że wszystkie dane przesyłane przez zabezpieczoną certyfikatem stronę internetową są zaszyfrowane i tajne dla innych, nieuprawnionych użytkowników sieci. 

Certyfikaty SSL obsługiwane są przez wszystkie współczesne serwery i przeglądarki internetowe, dlatego wystarczy zainstalować go na serwerze, aby chronił dane użytkowników. Certyfikat SSL jest standardem bezpieczeństwa uznanym na całym świecie.

2. Co to jest protokół SSL?

SSL to protokół służący do zabezpieczania danych przesyłanych przez Internet.

Uwierzytelnia on i szyfruje dane wymieniane pomiędzy użytkownikami (przeglądarkami) a serwerami. Skrót SSL oznacza Secure Socket Layer i aby z niego skorzystać, należy zainstalować certyfikat SSL. Protokół SSL został zaprojektowany przez amerykańską firmę Netscape Communications w 1994 roku.

3. Co to jest TLS?

TLS (Transport Layer Security), to rozwinięcie protokołu SSL. Jest to zaktualizowana i unowocześniona wersja protokołu SSL, która jest obecnie wykorzystywanym standardem dla ochrony danych w sieci. W rzeczywistości korzystamy z protokołu TLS, jednak nazwa „SSL” jest bardziej rozpoznawalna. Protokół TLS stworzono w 1999 roku przez międzynarodowe stowarzyszenie IETF (Internet Engineering Task Force).

4. Na czym polega szyfrowanie asymetryczne?

Protokoły SSL i TLS działają na zasadzie szyfrowania asymetrycznego, znaczy to, że dwie strony połączenia są zabezpieczane przez dwa inne klucze. Odbywa się to za pomocą technologii kryptografii klucza publicznego. 

Do szyfrowania wykorzystywane są dwa klucze: klucz publiczny oraz klucz prywatny. Klucz publiczny jest otwarcie udostępniany przez serwer, natomiast klucz prywatny, używany tylko przez serwer, jest utajniony. Aby dane przesyłane przez protokół mogły zostać odszyfrowane, potrzeba obu kluczy.

5. Czym jest klucz sesji?

Klucz sesji to tymczasowy klucz cyfrowy, wykorzystywany do komunikacji z określonym serwerem. Jest on tworzony przez klienta (przeglądarkę użytkownika), który chce połączyć się z serwerem (np. odwiedzić stronę WWW). Klucz sesji jest przesyłany do serwera, po sprawdzeniu przez klienta wiarygodności certyfikatu SSL otrzymanego od serwera.  Klucze sesji umożliwiają bezpieczny przesył danych pomiędzy klientem i serwerem w trakcie całego połączenia; są generowane losowo i wykorzystywane jednorazowo.

6. Jak działa certyfikat SSL?

Działanie certyfikatu SSL można określić w kilku krokach:

1. Klient, czyli przeglądarka, z której korzysta użytkowniki, otwiera stronę zabezpieczoną certyfikatem SSL, tworząc połączenie z jej serwerem.
2. Zostaje wysłane żądanie o identyfikację serwera.
3. Serwer odsyła dane dotyczące certyfikatu SSL, w tym klucz publiczny
4. Klient sprawdza dane certyfikatu i jeśli jest on aktywny i poprawny, odsyła do serwera symetryczny klucz sesji w kluczu publicznym.
5. Serwer rozkodowuje klucz sesji przy użyciu klucza prywatnego i rozpoczyna szyfrowaną sesję dla klienta.
6. W szyfrowanej sesji zarówno klient, jak i serwer mogą bezpiecznie wymieniać się informacjami.

7. Co zawiera certyfikat SSL?

Certyfikat SSL zawiera dane dotyczące domeny, dla której został wydany oraz informacje o samym zabezpieczeniu:

• Nazwa domeny
• Okres ważności certyfikatu SSL
• Informacje na temat urzędu certyfikacji
• Wersję SSL/TLS
• Klucz publiczny
• Podpis certyfikatu.
  

8. Jaka jest różnica pomiędzy HTTP i HTTPS?

HTTP (Hyper Text Transfer Protocol) jest to protokół umożliwiający przeglądanie stron internetowych i komunikację pomiędzy komputerami. Pozwala na wymianę danych, ale ich nie zabezpiecza. Dane przekazywane przez protokół HTTP są niechronione i łatwo o ich przechwycenia.

HTTPS (Hyper Text Transfer Protocol Secure)  to ulepszona forma protokołu HTTP. Działa na podobnej zasadzie co protokół HTTP, z tą różnicą, że wykorzystuje szyfrowanie danych w komunikacji pomiędzy przeglądarkami i serwerami. Dzięki temu wymiana informacji między nimi jest bezpieczniejsza i trudniejsza do przechwycenia. Protokołem HTTPS są określane wszystkie witryny, które posiadają aktywny certyfikat SSL; znajduje się on tuż przed nazwą domeny w adresie witryny internetowej.

9. Co ochrania certyfikat SSL?

Certyfikaty SSL są najczęściej wykorzystywane do zabezpieczenia witryn internetowych. Mają one ogromne znaczenie przy ochronie danych w trakcie płatności internetowych oraz w e-bankowości. Zabezpieczają przed

• kradzieżą danych z formularzy,
• kradzieżą haseł,
• kradzieżą numerów kont bankowych i kart płatniczych,
• fałszowaniem i wykorzystywaniem danych użytkowników danej strony.

Nie są to jednak jedyne zastosowania certyfikatów SSL. Przy użyciu certyfikatu można zabezpieczyć połączenie z pocztą e-mail oraz serwerami FTP (serwery pozwalające na wymianę danych między komputerami).

10. Czy muszę mieć certyfikat SSL?

Nie, nie istnieje nakaz posiadania certyfikatu SSL na swojej stronie internetowej czy serwerze. Jednak nie posiadając certyfikatu SSL, narażasz dane przesyłane za ich pośrednictwem na kradzież. Skradzione dane Twoich klientów lub prywatne dane z serwera mogą zostać wykorzystane w celu oszustwa lub wyłudzenia.

Ponadto, jeśli nie posiadasz certyfikatu SSL na witrynie internetowej, to każdy użytkownik, który będzie chciał na nią wejść, zostanie ostrzeżony, że Twoja strona jest niebezpieczna. Może to odstraszać użytkowników oraz będzie negatywnie wpływało na pozycję strony w wyszukiwarce.

11. Jak uzyskać ochronę SSL?

Certyfikaty SSL są wydawane przez urzędy certyfikujące, które poświadczają o wiarygodności domeny lub domeny i jej właściciela. Certyfikat SSL można pozyskać na dwa sposoby: generując bezpłatny i ogólnodostępny certyfikat Let’s Encrypt lub kupując certyfikat u dostawcy usług internetowych. 

Bezpłatny certyfikat będzie odpowiednim rozwiązaniem dla zdecydowanej większości stron w sieci, poczynając od blogów i kończąc na sklepach internetowych. Płatne certyfikaty oferują wyższy poziom zabezpieczenia i potwierdzają wiarygodność właściciela domeny, jednak są one niezbędne jedynie bankom, instytucjom finansowym czy urzędom. 

Po zakupie lub wygenerowaniu certyfikatu należy go zainstalować na odpowiednim serwerze, aby zyskać pełną ochronę SSL. Instalacją można zająć się samemu lub zwrócić się z prośbą do swojego dostawcy usług hostingowych.

12. Czy certyfikat SSL chroni witrynę przed wirusami?

Nie, certyfikat SSL nie ochroni Twojego serwera przed wirusami. Certyfikaty chronią dane przesyłane pomiędzy klientem a serwerem lub pomiędzy serwerami. Do ochrony przed wirusami internetowymi istnieją do tego przeznaczone programy antywirusowe.

13. Jakie korzyści daje zainstalowany certyfikat SSL?

Zwiększone zaufanie klientów
Użytkownicy są coraz bardziej świadomi kwestii bezpieczeństwa w Internecie. Mając certyfikat na swojej stronie, użytkownicy będą chętniej wchodzić na stronę WWW i/lub robić na niej zakupy.

Zabezpieczenie przed wyłudzeniem danych (phishingiem)
Bez zainstalowanego certyfikatu SSL dane użytkowników mogą być łatwo wykradzione ze strony. Dane te mogą posłużyć cyberprzestępcom do oszustw, podszywania się pod użytkowników lub prób wyłudzeń. Z certyfikatem SSL ryzyko phishingu jest dużo mniejsze.

Budowanie wiarygodności firmy
Firma z aktywnym certyfikatem w swojej domenie wygląda na godną zaufania i powierzenia swoich danych np. w trakcie zakupów z e-sklepu. Certyfikat SSL potwierdzający wiarygodność właściciela domeny wskazuje na to, że organizacja nie ma nic do ukrycia.

Zgodność ze światowymi standardami bezpieczeństwa
Certyfikaty SSL są standardem bezpieczeństwa na całym świecie. Dzięki darmowym certyfikatom Let’s Encrypt zabezpieczanie stron WWW stało się powszechniejsze, a nieposiadanie certyfikatu SSL jest odbierane negatywnie.

Zwiększenie liczby dokonywanych transakcji w serwisie
Strona bez certyfikatu SSL wygląda, a nawet jest oznaczona jako niebezpieczna. Klient poinformowany przed wejściem na witrynę, że z tej strony mogą zostać skradzione jego dane, może zrezygnować z zakupów.

Pozytywny wpływ na pozycjonowanie strony WWW
Strony mające certyfikat SSL są wyżej pozycjonowane w wyszukiwarce Google i tym samym lepiej widoczne dla innych użytkowników.

Zgodność z ustawą RODO
Ustawa RODO informuje, że e-sklepy są zobowiązane do ochrony danych swoich klientów. Administrator przetwarzający dane musi zapewnić ich ochronę i poufność, co zapewnia certyfikat SSL

14. Czy certyfikat SSL chroni subdomeny?

Do ochrony subdomen został stworzony specjalny typ certyfikat SSL Wildcard. Subdomenę ochroni również certyfikat typu Multi Domain.

15. Czy warto korzystać z darmowych certyfikatów SSL?

Zdecydowanie warto korzystać z darmowego certyfikatu, niż nie posiadać w ogóle certyfikatu SSL. Darmowe certyfikaty (np. Let’s Encrypt) zapewniają dobre zabezpieczenie stron WWW, które sprawdzi się w większości przypadków i zapewni ochronę na poziomie komercyjnych certyfikatów SSL.

16. Skąd wiadomo, że strona jest chroniona certyfikatem SSL?

To, czy strona jest chroniona certyfikatem, można sprawdzić w pasku adresu strony w przeglądarce. Z lewej strony przed adresem będzie widniała ikona kłódki, a sam adres będzie poprzedzony protokołem HTTPS.

17. Jak długo ważny jest certyfikat SSL?

Bezpłatne certyfikaty Let’s Encrypt posiadają ważność 90 dni, a ważność dla płatnych certyfikatów wynosi 1 rok. Po upływie ważności certyfikatu należy go odnowić. W dobrych firmach hostingowych darmowy certyfikat odnawiany jest automatycznie, więc nie ma potrzeby wykonywania samodzielnej aktualizacji. Warto się wcześniej dowiedzieć, czy dany hostingodawca posiada taką usługę.

18. Jakie warunki musi spełniać serwer, by zainstalować certyfikat SSL?

Aktualnie większość serwerów umożliwia zainstalowanie certyfikatu SSL. Domena, aby mogła uzyskać certyfikację SSL, musi posiadać odrębny adres IP lub posiadać wsparcie technologii SNI, która umożliwia instalowanie wielu kluczy na jednym adresie IP.

19. Jakie są typy certyfikatów SSL?

Certyfikaty SSL dzielą się na kilka rodzajów o różnych funkcjach. Wszystkie z nich gwarantują szyfrowane, bezpieczne połączenie.

• Certyfikat DV – uwierzytelnia daną domenę
• Certyfikat OV – uwierzytelnia domenę oraz właściciela domeny
• Certyfikat EV –  uwierzytelnia domenę i zawiera rozszerzone uwierzytelnienie właściciela domeny
• Certyfikat Wildcard – certyfikat, który uwierzytelnia subdomeny domeny, dla której został wydany
• Certyfikat Multi Domain – uwierzytelnia wiele różnych domen i subdomen 
• Certyfikat Code Signing – uwierzytelnia kod programów lub aplikacji systemowych
• Certyfikat dla poczty e-mail –  ochrania informacje przesyłane drogą mailową.

20. Czy można przenieść certyfikat SSL na inny serwer?

Tak, można to zrobić. Potrzeba pobrać swój certyfikat i jego klucz publiczny, a następnie zainstalować pobrane pliki na innym serwerze. Taką operację może wykonać również Twój dostawca usług internetowych, a w dobrych firmach hostingowych można wykonać taką operację samodzielnie przy pomocy kilku kliknięć.

21. Dlaczego certyfikat SSL nie działa?

Najczęstszą przyczyną niedziałającego certyfikatu SSL jest brak jego instalacji na serwerze. Samo zakupienie certyfikatu nie gwarantuje natychmiastowej ochrony: otrzymany certyfikat należy następnie zainstalować.

Innymi przyczynami niedziałania certyfikatu SSL może być: 

• brak przekierowania strony na protokół HTTPS,
• istnienie przekierowań do innych serwerów, które nie są chronione certyfikatem,
• stara mapa witryny (sitemap.xml) w Google Search Console.

22. Czy certyfikat SSL zabezpieczy pocztę e-mail?

Tak, certyfikat SSL może zabezpieczać pocztę e-mail przed kradzieżą przesyłanych danych. Należy w tym celu zainstalować certyfikat SSL na serwerze obsługującym Twoją pocztę e-mail, jednak w przypadku hostingów współdzielonych, taki certyfikat jest zazwyczaj domyślnie włączony.

23. Czy certyfikat SSL wpływa na pozycjonowanie strony (SEO)?

Tak, posiadanie certyfikatu SSL pozytywnie wpływa na pozycjonowanie strony WWW (SEO). W wyszukiwarce Google promowane są witryny, które świadczą bezpieczne połączenia dla swoich użytkowników. Strony niezabezpieczone certyfikatem SSL i tym samym niekorzystające z protokołu HTTPS mogą być wyświetlane niżej w wyszukiwaniach. 

24. Certyfikat SSL dla domeny czy serwera?

Certyfikat SSL jest wystawiany dla określonej domeny i poświadcza on jej wiarygodność. Niemniej jednak certyfikat SSL nie jest instalowany na domenie a na hostingu / serwerze.

25. Dlaczego kłódka w pasku adresu nie jest zielona?

Niegdyś kłódki, które widnieją po lewej stronie adresu strony, która jest zabezpieczona certyfikatem SSL, były oznaczone zielonym kolorem. Większość przeglądarek zrezygnowała z wykorzystywania koloru i kłódki widnieją pod postacią ikonek. To, że kłódeczka nie jest zielona a np. szara lub czarna, to nic złego. Strona oznaczona kłódką z pewnością jest chroniona certyfikatem SSL.

26. Czy certyfikat SSL ochroni domenę IDN?

Domeny IDN, to takie strony WWW, które posiadają w nazwie polskie znaki (np. ą, ę, ś, ź). Certyfikat SSL można zastosować dla takiej domeny, ale wcześniej należy użyć translatora domen, który przełoży polską nazwę, na taką w formacie ASCII. Dopiero dla przetłumaczone nazwy może zostać wydany certyfikat.

27. Kto może posiadać certyfikat SSL?

Certyfikat SSL może posiadać każdy użytkownik Internetu, któremu zależy na zabezpieczeniu swojej strony WWW, serwera, serwera pocztowego lub własnej aplikacji.

28. Kto wystawia certyfikat SSL?

Certyfikat SSL może wystawić jedynie odpowiedni urząd certyfikujący. Do takich urzędów należą np. CERTUM, DigiCert, GeoTrust, RapidSSL, Symantec, Let’s Encrypt, ZeroSSL lub StartSSL.

29. Ile kosztuje certyfikat SSL?

Cena certyfikatu SSL jest uzależniona od jego rodzaju, stopnia uwierzytelnienia i zabezpieczenia domeny. Istnieją darmowe certyfikaty SSL, ale również takie przeznaczone dla dużych organizacji, których cena sięga 2000 zł.

30. Gdzie kupić certyfikat SSL?

Certyfikat SSL można kupić u wielu dostawców usług internetowych. Jeśli Twoja firma jest np. instytucją finansową, bankiem, urzędem, to warto zaopatrzyć się w komercyjny certyfikat, najlepiej u tego samego dostawcy, gdzie posiadasz hosting. Zapewni to wygodne zarządzanie w jednym miejscu. Natomiast jeśli prowadzisz e-sklep, bloga lub jakąkolwiek witrynę internetową, to prawdopodobnie wystarczająca będzie dla Ciebie ochrona w postaci darmowego certyfikatu SSL.

31. Jak odnowić certyfikat SSL?

Odnowienie certyfikatu SSL polega tak naprawdę na wydaniu zupełnie nowego certyfikatu na nowy okres. Komercyjny certyfikat SSL możesz odnowić przed jego wygaśnięciem u aktualnego dostawcy usług internetowych lub wykupić nowy certyfikat u innego. Odnowienie certyfikatu łączy się z jego opłaceniem. Usługodawcy dbający o swoich klientów, wprowadzają wygodne automatyzacje, które samodzielnie odnawiają usługę i podmieniają wygasający certyfikat na nowy. Dzięki temu Twoja strona internetowa zawsze jest pod stałą ochroną.

Opłacanie certyfikatów nie dotyczy ich bezpłatny wersji, jak np. Let’s Encrypt, które można samodzielnie wygenerować online lub (u dobrych dostawców) ustawić automatyzację odnowienia.

32. Ile czasu zajmuje wydanie certyfikatu SSL?

Wydanie certyfikatu SSL jest uzależnione od walidacji. Certyfikaty typu DV są wydawane od kilku minut do kilku godzin, OV w granicy 1-2 dni, natomiast certyfikaty dla firm (Willdcard i Multi Domain) wymagają oczekiwania 1-7 dni.

33. Jak zainstalować certyfikat SSL?

Certyfikat SSL należy zainstalować na hostingu i dotyczy on jednej, konkretnej domeny. Certyfikat, który nie jest zainstalowany, nie będzie chronił Twojej strony internetowej. Sprawdź wcześniej, czy hostingodawca oferuje darmowy certyfikat lub czy nie uruchamia automatycznie ochrony na danym serwerze — być może Twój serwer już jest chroniony. 

Posiadając hosting współdzielony, certyfikat SSL można zainstalować w prosty i łatwy sposób. Wystarczy wejść do panelu klienta, odszukać odpowiednią zakładkę i zainstalować go na serwerze przy pomocy kilku kliknięć. Usługę instalacji może wykonać za Ciebie support hostingodawcy (bezpłatnie lub odpłatnie).

W przypadku hostingów VPS, hostingów dedykowanych i chmurowych należy samodzielnie wykonać instalację certyfikatu w konfiguracji serwera.

Dla Twojej wygody wybierz hostingodawcę, który oferuje darmowy certyfikat SSL oraz jego automatyczne odnawianie, zapewniające stałą i nieprzerwaną ochronę. Ze względu na istniejące na rynku darmowe certyfikaty, nie warto kupować certyfikatów komercyjnych (zapewniają identyczny poziom ochrony).