Skip to content 
Czy wiesz, że według danych z maja 2024 opublikowanych przez portal SSL Insights, aż 34% z 134 495 badanych stron nie zastosowało się do najlepszych praktyk w zakresie wdrażania SSL?
Bezpieczeństwo dla wielu użytkowników jest priorytetowe. Bagatelizowanie tej kwestii może negatywnie wpłynąć na wizerunek twojej firmy. Dlatego zadbaj o właściwą ochronę swojej strony www.
Z tego artykułu dowiesz się, co to jest certyfikat SSL (Secure Sockets Layer) oraz jak go wdrożyć.
Certyfikat SSL – co to jest?
Każda strona www powinna zadbać o kwestie związane z bezpieczeństwem. Dlatego przy tworzeniu własnej witryny (np. za pomocą WordPressa), powinieneś zastanowić się nad wdrożeniem środków chroniących odwiedzających. W tym celu możesz zainstalować na przykład certyfikaty SSL (Secure Sockets Layer).
Certyfikaty SSLto nic innego, jak protokół bezpieczeństwa. Zabezpiecza on transmisję poufnych danych, takich jak np. loginy, hasła, numery kart kredytowych czy też dane osobowe, przed przechwyceniem przez niepowołane osoby.
Możesz spotkać się także z nazwą TLS. Jest to bardziej aktualny system w porównaniu do SSL. Tak naprawdę większość stron używa już certyfikatów TLS. W języku jednak w częściej funkcjonuje nazwa SSL, dlatego też zdecydowałem się jej używać.
Miej także na uwadze, że SSL jest najbardziej popularnym sposobem szyfrowania danych w internecie, ale nie jedynym. Chociażby, jak podaje Komputer Świat, Rosjanie utworzyli własny protokół szyfrowania.
SSL Certyfikaty – rodzaje
Certyfikaty SSL można podzielić na różne typy, ze względu na obszar weryfikowanych treści.
Są to, np.:
- Domain Validation (DV) – najprostszy typ protokołu SSL, który weryfikuje jedynie własność domeny,
- Organization Validation (OV) – weryfikuje również tożsamość organizacji, co znacząco wpływa na zaufanie, jakim darzą cię użytkownicy,
- Extended Validation (EV) – zapewnia najwyższy poziom bezpieczeństwa. Ten protokół SSL wymaga szczegółowej weryfikacji organizacji.
Według statystyk podanych przez portal SSL Dragon, Certyfikaty SSL DV są najpopularniejsze. Korzysta z nich aż 94,4% przebadanych stron.
Jak działa protokół SSL?
Kiedy już wiesz, co to jest SSL, pora, abyś dowiedział się jak działają protokoły bezpieczeństwa. Działanie protokołu opiera się na dwóch elementach: szyfrowaniu i uwierzytelnianiu.
Do szyfrowania SSL wykorzystywane są dwa algorytmy: symetryczne i asymetryczne. Kodowania SSL symetrycznego używa się do szyfrowania i deszyfrowania danych. Szyfrowanie asymetryczne jest używane do pierwszego połączenia ze stroną, a następnie do wymiany tzw. kluczy. W tym wypadku wykorzystywane są klucze publiczne oraz prywatne.
Działanie w SSL w praktyce
Wytłumaczę ci teraz, jak działa szyfrowanie SSL, na przykładzie stworzonej przeze mnie strony.
Załóżmy, że po raz pierwszy chcesz zawitać na stronę Krajowego Centrum Edukacyjnego, by zapisać się na specjalistyczny kurs, który ułatwi ci prowadzenie biznesu online.
W momencie, kiedy twoja przeglądarka inicjuje połączenie z serwerem witryny, automatycznie wysyła żądanie połączenia SSL. W odpowiedzi serwer strony wysyła protokół wraz z kluczem publicznym.
Następnie twoja przeglądarka weryfikuje autentyczność i ważność klucza witryny. Jeśli wszystko się zgadza, generowany zostaje klucz sesji, który zostaje automatycznie zaszyfrowany za pomocą klucza publicznego. W odpowiedzi serwer deszyfruje przesłany przez przeglądarkę klucz, używając do tego celu swojego klucza prywatnego.
Na koniec serwer i twoja przeglądarka używają klucza sesji do szyfrowania i deszyfrowania danych, które są przesyłane między nimi. Dzięki temu możesz korzystać ze strony Krajowego Centrum Edukacyjnego bez obawy, że twoje dane mogą zostać przechwycone przez osoby trzecie.
Po czym poznać, że strona używa certyfikatów?
Dla przeglądarek bezpieczeństwo użytkowników jest ważne, dlatego serwisy mające protokół SSL są odpowiednio oznaczone.
Certyfikaty są oznaczone za pomocą:
- adresu HTTPS – strony, które używają szyfrowanego połączenia mają dodaną do standardowego adresu HTTP literę “s”. To właśnie ona oznacza szyfrowanie SSL,
- symboli zamkniętej kłódki – jest to kolejny symbol umieszczony na pasku adresu. Kiedy go klikniesz, otrzymasz informacje dotyczące certyfikatu.
Strona, która nie ma certyfikatu HTTPS, jest oznaczona komunikatem “niebezpieczna”. Dzięki temu użytkownik wie, że zostawienie jakichkolwiek danych na takiej witrynie, może być dla niego niebezpieczne.
Wbrew pozorom stron niezabezpieczonych jest dość sporo. SSL Insights podaje, że aż 34% z 134 495 badanych stron miało niekompletne łańcuchy certyfikatów bądź po prostu słabe zabezpieczenia.
Jak zainstalować certyfikaty HTTPS?
Nieważne, czy planujesz dopiero założyć własną stronę na WordPressie, czy już korzystasz z tego systemu CMS, powinieneś zadbać o bezpieczeństwo użytkowników. Możesz to zrobić na dwa sposoby.
Sposób 1: Zainstaluj wtyczkę
Jeśli jesteś osobą początkującą, wykorzystaj jedną z podstawowych funkcji WordPressa. Instalacja odpowiedniej wtyczki będzie dobrym sposobem wdrożenia certyfikatu.
3 najbardziej polecane pluginy to:
- Really Simple SSL,
- WP Force SSL,
- SSL Zen.
Really Simple SSL
To chyba najpopularniejsza wtyczka tego rodzaju. Dostępna jest w wersji premium oraz darmowej.
Jej podstawowe funkcje to:
- automatyczne przekierowywanie HTTP na HTTPS,
- obsługa certyfikatów SSL,
- wykrywanie i naprawa mieszanej zawartości (mixed content),
- integracja z innymi wtyczkami bezpieczeństwa.
Really Simple SSL jest ceniona za łatwość i szybkość instalacji oraz minimalną ingerencję w ustawienia stron. Dodatkową zaletą tej wtyczki są regularne aktualizacje. Osoby korzystające z tej wtyczki mogą również skorzystać ze wsparcia technicznego.
Really Simple SSL nie jest jednak wtyczką doskonałą. Najbardziej dotkliwą wadą tej wtyczki okazuje się jej wpływ na wydajność strony.
WP Force SSL
Ta wtyczka oferuje:
- automatyczne przekierowanie HTTP na HTTPS,
- możliwość ustawienia przekierowań dla poszczególnych stron,
- wsparcie dla certyfikatów SSL.
Plugin WP Force SSL jest prosty w obsłudze, skuteczny oraz można go dostosować do swoich potrzeb. Wadą tej wtyczki są natomiast jej ograniczone możliwości.
W przypadku WP Force SSL również możesz skorzystać z wersji darmowej lub płatnej.
SSL Zen
Ta wtyczka, podobnie jak dwie wcześniej wymienione, dostępna jest w wersji premium i bezpłatnej.
Podstawowe funkcje SSL Zen to:
- generowanie i instalacja certyfikatów SSL,
- automatyczne odnawianie certyfikatów,
- przekierowanie HTTP na HTTPS,
- wykrywanie i naprawa mieszanej zawartości (mixed content).
Wtyczka ta jest szczególnie ceniona za łatwą instalację certyfikatów HTTPS, automatyczne ich odnawianie oraz skuteczne zarządzanie mixed content. Plugin ten jednak nie należy do najłatwiejszych w obsłudze.
Sposób 2: Ręczne włączenie certyfikatu SSL
Jest to sposób dla osób nieco bardziej zaawansowanych. Jednak jest pewniejszy niż instalacja wtyczki.
Przed rozpoczęciem manualnego wdrażania SSL, radziłbym ci utworzyć kopię zapasową strony. Wiele lat pracy z WordPresem nauczyło mnie, że przy takich zabiegach łatwiej o błąd, który nie zawsze można szybko odkręcić.
Aby ręcznie włączyć certyfikat HTTPS, zastosuj się do kolejnych wskazówek:
Zaktualizuj adresy URL
Na początek powinieneś zaktualizować adresy URL. W tym celu z panelu administratora przejdź do ustawień ogólnych. Tam w polach “Adres WordPressa (URL)” oraz “Adres witryny (URL)” dodaj przedrostek HTTPS.
Przekieruj plik .htaccess
Następnie stwórz przekierowanie 301 w pliku .htaccess. Dzięki temu twoi odwiedzający będą automatycznie przenoszeni z HTTP do HTTPS.
Plik .htaccess znajduje się w głównym katalogu instalacji WordPressa na serwerze. Aby dostać się do niego, wykorzystaj klienta FTP.
Na samym początku pliku dodaj następujący kod:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
Na koniec zapisz plik.
Zaktualizuj odnośniki
Do tego celu użyj wtyczki Better Search Replace. Kiedy już włączysz wtyczkę, przejdź do sekcji narzędzia. Tam znajdziesz dodatkową opcję o nazwie “Better Search Replace”. Kliknij w nią i przejdź do zakładki “Search/Replace”. W tym miejscu możesz podmienić wszystkie odnośniki w bazie danych.
Następnie w polu “Search For” wpisz adres HTTP twojej witryny. A później w polu “Replace With” wprowadź adres strony HTTPS.
Potem zaznacz wszystko w polu “Select tables”, zaznacz opcję “Replace GUIDs”, odznacz “Run as dry run” i na końcu kliknij “Run Search/Replace”. To sprawi, że wszystkie twoje adresy HTTP zostaną oznaczone certyfikatem HTTPS.
Protokół SSL – dlaczego warto go mieć?
Istnieje kilka powodów, dlaczego warto wdrożyć protokół SSL.
Zaufanie klienta
Posiadanie certyfikatów SSL jest wiadomością dla użytkownika, że jego bezpieczeństwo jest ważne dla twórcy strony. To przekłada się m.in. na zaufanie, jakim darzą cię klienci, renomę marki, wzrost konwersji i sprzedaży.
Jak zauważa Adrianna Nowak – managerka marki z wieloletnim stażem i trenerka Akademii Widoczni:
“Obecnie większość stron internetowych zbiera od nas informacje. Wystarczy wypełnić formularz kontaktowy, zalogować się lub zrobić zakupy online, by zostawić szereg danych. Wchodząc na daną witrynę przekazujemy informacje, często nawet bardzo wrażliwe, takie jak: numer karty płatniczej, czy hasło logowania. Wdrożenie SSL daje gwarancję, że dane te nie zostaną przechwycone przez osoby trzecie.”
Wpływ na pozycję w rankingu przeglądarki
Co więcej, posiadanie takiego certyfikatu ma realny wpływ na SEO. Przeglądarki premiują strony oznaczone protokołem SSL. Strona, która została zainfekowana złośliwym oprogramowaniem może nawet zostać zbanowana przez Google, na co zwraca uwagę Jacek Jagusiak – specjalista SEO i SEM z ponad 10-letnim doświadczeniem oraz właściciel firmy New Game.
SSL jako warunek konieczny
Ponadto, w niektórych przypadkach posiadanie takiego certyfikatu, jest warunkiem koniecznym. Na przykład, jeśli działasz w branży e-commerce i chcesz wprowadzić możliwość płatności internetowej, musisz wdrożyć SSL.
Ochrona przed atakami hakerskimi
Inną zaletą posiadania certyfikatów HTTPS jest zapewnienie sobie bezpieczeństwa. Te protokoły chronią przed atakami hakerskimi typu “man-in-the-middle”, które przeprowadzane są w celu przechwycenia danych użytkowników.
Marcin Skiba – właściciel firmy SEOski.pl specjalizujący się w prowadzeniu biznesów online – zauważa, że ponad 40% wszystkich ataków hakerów dotyka małe firmy, a aż 14% z nich nie jest przygotowanych, by się przed nimi bronić.
Zgodność z przepisami
Wyciek danych jest także pogwałceniem m.in. przepisów RODO. Instalując więc protokoły SSL możesz uniknąć problemów prawnych.
Certyfikat SSL co to jest i jak go zainstalować – podsumowanie
Certyfikat SSL to inaczej protokół bezpieczeństwa, który uniemożliwia przechwycenie danych użytkownika przez osoby trzecie. Swoje działanie opiera na szyfrowaniu i deszyfrowaniu przesyłanych danych.
Strony, które używają protokołów SSL są oznaczone poprzez przedrostek HTTPS oraz kłódkę znajdującą się w pasku adresu. Przeglądarki zaznaczają również, które ze stron nie korzystają z zabezpieczeń. Takie strony oznaczone są jako “niebezpieczne”.
Warto mieć również na uwadze fakt, że komunikat o braku certyfikatów może skutecznie zniechęcić dużą część potencjalnych klientów do dalszego korzystania z naszej strony i negatywnie wpłynąć na wizerunek firmy. Dodatkowo, niektóre funkcje stron takie, jak płatność online, wymagają posiadania protokołu.
Certyfikat HTTPS na swojej stronie na WordPressie możesz wdrożyć za pomocą wtyczek (np. Real Simple SSL, WP Force SSL, SSL Zen) lub wprowadzić go ręcznie. Użycie pluginu jest łatwiejsze, lecz ma pewne ograniczenia. Natomiast wprowadzenie ręczne jest sposobem dla osób bardziej zaawansowanych, ale zdecydowanie pewniejszym.
Czasami pewne działania takie, jak instalowanie pluginów, motywów, ignorowanie aktualizacji, mogą stworzyć nam sporo problemów, np. sprawić, że nasza strona zwyczajnie przestanie działać. Dlatego jeśli chcesz nauczyć się, m.in. wdrażania certyfikatów SSL bez konieczności instalowania kolejnych wtyczek, zapisz się na specjalistyczny kurs WordPress.
Pamiętaj, że dbając o ochronę danych użytkowników zapewniasz bezpieczeństwo również sobie. Wyciek danych jest pogwałceniem przepisów RODO, a to może oznaczać dla ciebie konflikt z prawem. Jeśli interesuje cię jak zadbać o odpowiednią ochronę danych osobowych użytkowników, przeczytaj jeden z moich poprzednich wpisów.
