6 powodów dla których warto mieć certyfikat SSL

certyfikaty ssl
Photo by Ilya Pavlov on Unsplash

Bezpieczeństwo w sieci to podstawa, dlatego właściciele stron i sklepów internetowych powinni zainwestować w certyfikat SSL. Zapewnia on bezpieczeństwo danych i transakcji internetowych. Czym jest SSL i dlaczego warto go mieć?

Certyfikat SSL stanowi gwarancję bezpieczeństwa w trakcie przeglądania strony, wypełniania formularzy internetowych, przesyłania danych oraz dokonywania transakcji internetowych. Dlatego na stronach sklepów internetowych lub witrynach, przez którą są przekazywane jakiekolwiek dane odwiedzających jest on wręcz wymagany.

Istnieje wiele powodów, dla których warto zintegrować certyfikat SSL ze swoją stroną. Poza oczywistą funkcją zabezpieczenia danych ma on również wiele innych zalet, takich jak: zwiększenie pozycji w wynikach wyszukiwania Google (SEO), wzrost wiarygodności w oczach klientów i odwiedzających. Pośrednio wpływa na zwiększenie konwersji w sklepach internetowych czy też zmniejszenie współczynnika odrzuceń na stronie

Zacznijmy jednak od podstaw – sprawdźmy, czym jest SSL i jak działa, a następnie skupmy się na tym, co on właściwie daje i dlaczego warto go mieć.

Czym jest certyfikat SSL?

Kiedy wchodzisz na jakąkolwiek stronę internetową, nawiązywane jest połączenie między przeglądarką, a serwerem strony. Gdy strona nie ma certyfikatu SSL, to całe połączenie jest niezaszyfrowane, a więc niezabezpieczone. Dane przesyłane w trakcie odwiedzania witryny, wypełniania formularzy lub dokonywania zakupów i płatności internetowych mogą wpaść w niepowołane ręce lub mogą być przekierowane w nieodpowiednie miejsce. Zakup certyfikatu SSL dla swojej domeny internetowej niweluje to niebezpieczeństwo poprzez zabezpieczenie całej strony protokołem SSL.

SSL (Secure Socket Layer) jest protokołem internetowym, którego zadaniem jest zabezpieczanie danych na stronach WWW poprzez szyfrowanie całego połączenia. Wszelkie dane, które są przesyłane pomiędzy osobą odwiedzającą, a serwerem są najpierw odpowiednio szyfrowane, a potem bezpiecznie przesyłane w miejsce docelowe. Dzięki temu wszystkie informacje (np. dotyczące płatności) są poufne, nie mogą być w żaden sposób zmienione (np. kwoty przelewów) i zawsze trafią w odpowiednie miejsce (nie ma możliwości przekierowania użytkownika na nieodpowiednią stronę).

Certyfikat SSL powinien być wdrożony na każdej stronie internetowej, na której w jakikolwiek sposób są wykorzystywane lub przetwarzane dane użytkowników, a także dochodzi do dokonywania płatności internetowych.

Obowiązkowo powinny go posiadać banki, serwisy aukcyjne, sklepy internetowe z funkcją płatności online, strony medyczne z funkcją rejestracji wizyt i przekazywania wyników badań, szkoły i uniwersytety prowadzące internetowe dzienniki itd.

Certyfikat SSL wykupuje się w formie abonamentowej, gdzie płatności dokonuje się corocznie.

Niska cena zakupu certyfikatu (ok. 100 zł rocznie) i dość prosta implementacja pozwoli ustrzec się przed potencjalnymi konsekwencjami finansowymi. Roszczenia klientów w przypadku wycieku danych osobowych z niezabezpieczonej strony mogłyby sięgnąć astronomicznych kwot. Dodatkowo wystawca certyfikatu oferuje swego rodzaju ubezpieczenie na wypadek złamania takowego. Dotychczas jednak nie jest znany na świecie żaden przypadek złamania kluczy najnowszych certyfikatów. – Jakub Orłowski, ekspert LH.pl

Jakie są różnice między certyfikatami SSL?

Certyfikaty SSL podzielone są trzy różne klasy. Różnią się one nie tylko poziomem zabezpieczeń, ale także poziomem wiarygodności firmy, która z nich korzysta. Oczywiście im większy poziom rzetelności i, tym większy koszt wygenerowania takiego certyfikatu.

  1. DV (Domain Validation) – podstawowa wersja certyfikatu, w którym szyfrowane są dane przesyłane w ramach zabezpieczonej domeny. Nie jest jednak sprawdzana wiarygodność osoby lub firmy zamawiającej certyfikat. Sprawdzane jest jedynie to, czy firma lub osoba zamawiająca ma prawa do domeny, dla której chce wygenerować certyfikat SSL.
certyfikat ssl
  1. OV (Organization Validation) – nieco bardziej zaawansowany certyfikat, w którym oprócz zabezpieczenia technicznego strony dochodzi również do dokładniejszej weryfikacji firmy zamawiającej. Do założenia takiego certyfikatu trzeba udostępnić np. wyciągi z KRS lub umowy spółki. Odwiedzający stronę posiadającą taki certyfikat może kliknąć w ikonę kłódki na pasku adresu przeglądarki, aby sprawdzić nazwę organizacji, dla której został on wystawiony.
  2. EV (Extended Validation) – najbardziej rozbudowany certyfikat SSL. EV wymaga pełnego sprawdzenia firmy wnioskującej – statusu prawnego, zgodności danych, praw do domeny itp. Tego typu certyfikat podnosi prestiż, gdyż obok adresu internetowego w przeglądarce wyświetla się również nazwa firmy, dla której certyfikat został wystawiony (wyświetla się ona od razu na zielonym tle z ikoną kłódki).
certyfikat ssl EV (Extended Validation)
Certyfikat SSL EV (Extended Validation)

Do podstawowego zabezpieczenia danych użytkownika i zagwarantowania bezpieczeństwa wystarczy już najprostszy certyfikat SSL typu DV. Jeśli jednak chcesz zwiększyć wiarygodność swojej strony, podnieść jej prestiż i dać odwiedzającemu jasny komunikat, że strona jest zabezpieczona i dbasz o dane klientów, to możesz pokusić się o certyfikat OV lub EV.

1. Gwarancja wiarygodności i bezpieczeństwa

Najważniejszym powodem, dla którego warto zainwestować w SSL jest zagwarantowanie użytkownikom poczucia bezpieczeństwa, zwiększenie poziomu zabezpieczeń i wszelkie korzyści z tego płynące.

Gdy masz certyfikat SSL na swojej stronie, to wszystkie dane przesyłane przez przeglądarkę internetową są zaszyfrowane i zabezpieczone. Ochrona SSL w oparciu o protokół TLS 1.2 zapewnia poziom szyfrowania, który do tej pory nie został w żaden sposób złamany. Nawet jeśli udałoby się komuś przechwycić dane przesyłane z przeglądarki do serwera, to i tak nie będą one możliwe do odczytania ze względu na użycie 256-bitowego klucza szyfrowania AES. Nie da się z tego odczytać żadnych danych osobowych, adresów ani numerów kart kredytowych. Certyfikat SSL jest kluczowy do zabezpieczenia danych swoich klientów oraz użytkowników.

Konieczność użycia SSL rośnie jeszcze bardziej, gdy posiadasz lub planujesz założyć sklep internetowy. Przede wszystkim zabezpiecza on wszystkie płatności internetowe i chroni przed wykradaniem danych przetwarzanych podczas dokonywania zamówień. Posiadanie certyfikatu SSL jest wymaganiem, które jest stawiane przez „Payment Card Industry Data Security Standard”.

Jeśli chcesz wprowadzić płatność internetowe, to musisz mieć certyfikat SSL, gdyż bez tego poważnie narażasz klientów na przechwycenie danych do kart kredytowych przez osoby trzecie.

To jednak tylko wierzchołek góry lodowej, bowiem certyfikat SSL w sklepach internetowych pozwala zwiększyć obroty. Certyfikat SSL stanowi w tym kontekście znaczenie symboliczne. Klienci, którzy widzą, że twoja strona jest zabezpieczona przez SSL będą chętniej dokonywać zakupów. Zostało to potwierdzone odpowiednimi badaniami, których wyniki jasno wskazują, że certyfikat SSL pozwala zwiększyć zainteresowanie produktami nawet o 30%. Świadomość związana z bezpieczeństwem rośnie wśród użytkowników i żadna uświadomiona osoba nie skorzysta z płatności internetowych na stronie, która nie jest zabezpieczona certyfikatem SSL.

2. Ochrona przed phishingiem

Phishing to niezwykle przebiegła forma wykradania danych, zwłaszcza dostępu do kont internetowych i bankowych. Polega na tym, że potencjalnej ofierze “podkłada” się fałszywą stronę internetową, która do złudzenia przypomina jej oryginalny odpowiednik (np. stronę logowania do banku). Taka strona jest umieszczona w innej domenie, ale również bardzo podobnej do oryginalnej. Po wprowadzeniu swoich danych do logowania nie wchodzimy na swoje konto, a jedynie przesyłamy swój login i hasło atakującemu.

SSL zabezpiecza przed phishingiem i to w bardzo prosty sposób – atakujący może do woli upodabniać swoją stronę do oryginału, ale nigdy nie będzie w stanie uzyskać certyfikatu SSL.

Wszystkie strony wymagające logowania powinny mieć certyfikat SSL, czyli widoczną ikonę zielonej kłódki obok adresu. Jeśli jej tam nie ma, to znaczy, że strona jest niezabezpieczona i powinniśmy z niej wyjść lub dodatkowo zweryfikować jej autentyczność (np. dokładnie sprawdzając adres strony).

3. Większe zaufanie do twojej strony

Gdy wchodzisz na jakąś stronę internetową, to tuż obok adresu wyświetla się informacja o tym, że korzysta ona z certyfikatu SSL. Ma to ogromne znaczenie, gdyż zielona kłódka i komunikat o tym, że strona jest bezpieczna sprawia, że w oczach odwiedzającego jesteśmy godni zaufania. Wysyłamy w ten sposób jasny sygnał, że dbamy o dane klientów, a wszystkie informacje są zaszyfrowane.

Jest to istotne nie tylko w sklepach internetowych, gdzie ikona zielonej kłódki daje poczucia bezpieczeństwa podczas dokonywania transakcji internetowych, ale również w innych serwisach, w których rejestrujemy konta czy udostępniamy swoje dane. Certyfikat SSL zmienia również przedrostek adresu strony internetowej z HTTP na HTTPS, przez co już po samym adresie widać, że twoja strona jest zabezpieczona.

No dobrze… a co się dzieje ze stronami, które certyfikatu SSL nie posiadają? Odpowiedź na to pytanie ma chociażby Google, który w przeglądarce Chrome 56 i nowszych wprowadził zmianę, która sprawia, że strony zawierające pola do wpisania haseł lub danych do kart kredytowych, a nie posiadające certyfikatu SSL, zostaną oznaczone specjalnym komunikatem jako niezabezpieczone. Więcej o tym można przeczytać na deweloperskim blogu Google.

Niezabezpieczone strony nie tylko nie posiadają ikony zielonej kłódki, ale na dodatek wyświetlają odpowiedni komunikat o braku zabezpieczeń, ostrzegając użytkownika o tym, że korzystanie z naszej strony nie jest bezpieczne. Żaden właściciel serwisu lub sklepu internetowego nie chciałby otrzymać takiej etykietki.

4. SSL wpływa pozytywnie na SEO i pozycję w wynikach wyszukiwania Google

Pozycjonowanie strony jest trudne – z pewnością wie o tym niejedna osoba, która prowadzi sklep internetowy lub bloga, dla którego jest duża konkurencja. Kiedy twoja strona jest zoptymalizowana pod kątem SEO, ale nadal brakuje Ci jeszcze trochę do wyprzedzenia konkurencji, to certyfikat SSL może pomóc Ci wskoczyć na wyższą pozycję w Google.

Google sam poinformował, że posiadanie certyfikatu SSL ma pozytywny wpływ na pozycję w wynikach wyszukiwania i takie strony będą wyświetlać się na wyższych pozycjach.

Jest to związane z tym, że w dzisiejszych czasach promuje się korzystanie z SSL nie tylko na dużych i rozbudowanych stronach, ale również na niewielkich blogach i stronach firmowych. W zasadzie certyfikat SSL powinien być wykorzystywany na każdej stronie, aby zwiększyć globalny poziom bezpieczeństwa.

Warto także omówić kwestię tzw. współczynnika odrzuceń. Gdy ktoś wchodzi na twoją stronę z wyników wyszukiwania Google, nie spędza na niej dużo czasu, nie przechodzi do kolejnych podstron i od razu z niej wychodzi, to współczynnik odrzuceń rośnie, a strona spada w wynikach wyszukiwania.

Certyfikat SSL ma duży wpływ na zmniejszenie współczynnika odrzuceń, a co za tym idzie na zwiększenie pozycji w Google. Klient widzący zabezpieczoną stronę jest bardziej chętny do korzystania z niej, spędza na niej więcej czasu, odwiedza dalsze podstrony, a to powoduje, że współczynnik odrzuceń maleje. To z kolei powoduje, że nasza strona w wynikach wyszukiwania pnie się do góry.

5. SSL spełnia wymogi stawiane przez GIODO

GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych, nie może realnie wymusić na właścicielach stron założenia certyfikatu SSL. Nie zmienia to jednak faktu, że gdy na stronie internetowej przetwarzamy dane osobowe, musimy zastosować zabezpieczenie kryptograficzne, chroniące dane przed dostępem przez niepowołane osoby.

Certyfikat SSL jest najprostszym, najlepszym i najłatwiejszym sposobem na spełnienie wymagań GIODO w tym zakresie. SSL stanowi zabezpieczenie kryptograficzne (wszystkie dane są szyfrowane 256-bitowym kluczem AES), a więc generując certyfikat SSL spełniamy również wymagania prawne, które są nam stawiane w przypadku, gdy prowadzimy stronę internetową przetwarzającą dane osobowe.

6. Certyfikat SSL jest tani, a czasem nawet darmowy

To bardzo proste. Certyfikaty SSL dają mnóstwo korzyści, zapewniają bezpieczeństwo, pozwalają spełnić wymagania prawne, chronią dane użytkowników i wpływają pozytywnie na pozycjonowanie strony w Google’u. Wszystkie znaki na niebie i ziemi jasno wskazują, że posiadanie certyfikatu SSL się po prostu opłaca.

Najtańszy certyfikat SSL można wykupić już za niecałe 100 zł, a pierwszy rok jest bardzo często zwolniony z opłat. A jeśli naprawdę nie chcesz wydawać pieniędzy, to możesz nawet skorzystać z darmowych certyfikatów SSL, takich jak Let’s Encrypt. Nie oferują one za darmo takiego prestiżu, jak certyfikaty OV czy EV, ale do zabezpieczenia strony na podstawowym poziomie powinny wystarczyć.

Autor: Błażej Starosta, LH.pl