Certyfikat SSL ale jaki? - Wersja do druku +- PL WRTTeam - Sieć Serwerów Forum Wielotematyczne (https://wrtteam.pl) +-- Dział: Radia internetowe - pomoc radiowa i webmasterska (https://wrtteam.pl/forumdisplay.php?fid=123) +--- Dział: Poradniki (https://wrtteam.pl/forumdisplay.php?fid=177) +--- Wątek: Certyfikat SSL ale jaki? (/showthread.php?tid=798) |
Certyfikat SSL ale jaki? - DJRadziu458 - 20-10-2023 Nie płać za certyfikaty SSL! Kłódkę przy adresie możesz mieć za darmo Mateusz Mazurek, 12 maja 2021 Certyfikat SSL to jeden z kluczowych filarów bezpieczeństwa strony internetowej. Brak kłódki i protokołu HTTPS przy adresie jest sygnałem ostrzegawczym dla odwiedzających oraz wiąże się z ograniczeniem widoczności witryny w wyszukiwarkach. A certyfikat SSL można przecież mieć za darmo – i to wcale nie gorszy od wersji płatnych. Chyba nie muszę Cię przekonywać, że strona powinna mieć ważny certyfikat SSL. To istotne zarówno dla odwiedzających (poczucie bezpieczeństwa), jak i wyszukiwarek (posiadanie SSL jako jeden z elementów oceny jakości strony przez algorytmy Google). Protokół SSL weryfikuje domenę w przeglądarce odwiedzającego. Dzięki temu możliwe jest nawiązanie bezpiecznego połączenia za pośrednictwem HTTPS – chroniącego przesyłane dane przed nieautoryzowanym dostępem czy przechwyceniem. Jeżeli strona posiada certyfikat SSL, to przy jej adresie pojawia się kłódka oraz przedrostek HTTPS – w związku z tym odwiedzający już na pierwszy rzut oka widzi, że witryna jest bezpieczna. Certyfikaty SSL mogą kosztować naprawdę sporo. Najdroższe nawet kilkaset złotych rocznie. Prawda jest jednak taka, że darmowe wersje są w zupełności wystarczające, żeby zadbać o bezpieczeństwo strony internetowej. Darmowy SSL – gdzie tkwi haczyk? Certyfikaty SSL dzielą się na:
Darmowe certyfikaty SSL zawsze są typu DV. Czy są gorsze od swoich płatnych odpowiedników? Po prostu spełniają one podstawowe funkcje, których wymaga się od tego typu certyfikatów. Nie robią tego ani lepiej, ani gorzej. Z technicznego punktu widzenia są to pełnoprawne certyfikaty typu DV. Taki sam wygląd Wydaje Ci się, że darmowy certyfikat SSL będzie gorzej prezentował się w przeglądarce? Warto zauważyć, że od jakiegoś czasu nie stosuje się już zielonego paska adresu - więc ten argument nie ma już zastosowania. Strona z płatnym SSL nie będzie różnić się niczym konkretnym od tej opartej na bezpłatnej wersji protokołu. Sprawdź to sam i uruchom stronę banku, instytucji finansowej czy zwykłą firmową witrynę zabezpieczoną bezpłatnym certyfikatem. Wszystkie wyglądają tak samo. Dopiero po kliknięciu w samą kłódkę i po rozszerzeniu informacji, możesz uzyskać z nich inne informacje – np. dane firmy we wspomnianych certyfikatach OV i EV. To jednak funkcja, z której korzysta mały ułamek odwiedzających. Jak widzisz, strona rządowa z rozszerzoną walidacją nie różni się od strony z darmowym Let’s encrypt Co z długością certyfikatu? Certyfikaty SSL są wystawiane na określony czas. W przypadku płatnych certyfikatów jest to najczęściej (i maksymalnie) 1 rok. W przypadku bezpłatnych odmian, faktycznie długość jest znacznie krótsza, bowiem są to zaledwie 3 miesiące. Jednak niekoniecznie działa to na niekorzyść darmowego certyfikatu. Istnieje bowiem możliwość ustawienia jego automatycznego odnowienia. W konsekwencji zachowana jest ciągła ochrona strony. Gwarancja Gdyby dopatrywać się haczyków w wersji bezpłatnej, to jest to widoczne jedynie w obszarze ochrony gwarancyjnej. Podczas gdy płatne certyfikaty oferują gwarancję z określonym pułapem finansowym, to darmowe wersje nie dają takiej obietnicy. Jeżeli zabezpieczenie połączenia zostanie złamane i będzie to wina niedostatecznej ochrony certyfikatu SSL, to możesz ubiegać się o odszkodowanie. Ile ono wynosi i jak dochodzić swoich praw? To już zależy od umowy z instytucją wydającą certyfikat. Gwarancje takie są obwarowane często wieloma dodatkowymi zastrzeżeniami i dotyczą specyficznych sytuacji – np. kradzieży pieniędzy z karty kredytowej w wyniku nieprawidłowego wydania certyfikatu, których prawdopodobieństwo jest w praktyce znikome. Kiedy wybrać płatny SSL? Zastanów się, do czego potrzebny jest Ci certyfikat SSL. Czy chodzi tylko o możliwość korzystania z protokołu HTTPS i brak monitów bezpieczeństwa z Google? W takim wypadku ochrona typu DV w zupełności wystarcza. A jeżeli potrzebna jest wyłącznie ochrona na poziomie DV, wersja bezpłatna poradzi sobie tak samo dobrze, jak płatna. Strony firmowe, hobbystyczne, blogi, sklepy internetowe – w tych wszystkich sytuacjach darmowy SSL będzie w zupełności wystarczający. Oczywiście nie jest tak, że płatne certyfikaty to zawsze niepotrzebny wydatek. Komercyjne certyfikaty przydadzą się, gdy:
Rozszerzona walidacja obejmuje także informacje o organizacji w szczegółach certyfikatu W zasadzie tylko takie sytuacje sprawiają, że warto inwestować w płatny SSL. W innych wypadkach jest on zupełnie niepotrzebnym wydatkiem. Pieniądze zaoszczędzone na certyfikacie SSL lepiej spożytkujesz np. wybierając hosting o mocniejszych parametrach. Korzystając z lepszego serwera faktycznie możesz zauważyć różnice w funkcjonowaniu strony, a przy płatnym certyfikacie SSL jest to wyłącznie niepotrzebny koszt. Jaki z tego wniosek? Jeżeli w dalszym ciągu nie zabezpieczasz strony certyfikatem SSL, to robisz spory błąd. Skoro możesz to mieć za darmo, co Cię powstrzymuje? Przekreślona kłódka z monitem „strona niezabezpieczona” zawsze źle się kojarzy – szkodzi wizerunkowi strony oraz jej widoczności w wyszukiwarce. A co w sytuacji, gdy hosting nie umożliwia skorzystania z darmowej wersji certyfikatu SSL, zachęcając jednocześnie do zakupu płatnych wersji? No cóż – w takiej sytuacji warto poszukać innego serwera. -- Wystawcy darmowych certyfikatów SSL: Let’s Encrypt, ZeroSSL. Poradnik: Jak wybrać hosting wspierający darmowy SSL? Autor: Mateusz Mazurek. Przedsiębiorca internetowy i autor blogów. Twórca porównania najlepszych hostingów w ramach którego testuje, sprawdza i recenzuje i pomaga wybrać usługi hostingowe. Autor poradników dla webmasterów. -- Do tego dodałbym jeszcze certfikat Cloud Flare SSL jeden z najlepszych |