Certyfikat SSL w sklepie internetowym – czym jest i jaki wybrać?

Kategoria: 
E-commerce
Opublikowane: 
Czas czytania
: 9 min

Jeśli sklep ma sprzedawać, klienci muszą mu zaufać. To oczywiste – w końcu powierzają mu swoje dane – ale podczas projektowania strony dla e-commerce, kiedy większość właścicieli skupia się raczej na UX czy samej estetyce, może to zejść na dalszy plan. A nie powinno. Pierwszym, podstawowym krokiem, aby zapewnić bezpieczeństwo klientom, będzie wdrożenie w sklepie certyfikatu SSL – i o tym przeczytasz poniżej.

Certyfikat SSL w e-commerce

Czym jest certyfikat SSL/TLS i jak działa?

Certyfikat SSL/TLS to wirtualny dokument znajdujący się na serwerze strony WWW, który potwierdza tożsamość właściciela witryny i umożliwia szyfrowanie danych przesyłanych między przeglądarką użytkownika a serwerem. Warto to rozróżnić: sam certyfikat nie zabezpiecza danych – odpowiadają za to protokoły szyfrowania SSL/TLS, do korzystania z których certyfikat „uprawnia” stronę. Skróty „SSL” i „TLS” często stosuje się zamiennie, choć to dwa różne protokoły.

SSL jest starszym standardem szyfrowania, stworzonym jeszcze w latach 90.; dziś już przestarzałym i wypartym przez znacznie bezpieczniejszy TLS, który stanowi jego rozwinięcie. Nawet jeśli kupujesz „certyfikat SSL” – tak naprawdę wdrażasz protokół TLS. SSL funkcjonuje już bardziej jako nazwa zwyczajowa.

Oba jednak działają na tej samej zasadzie:

  1. Gdy przeglądarka nawiązuje połączenie z serwerem strony, wysyła najpierw prośbę o certyfikat. Jeśli go otrzyma, sprawdza, czy jest ważny, czy został wystawiony przez zaufany urząd certyfikacji i potwierdza tożsamość domeny.
  2. Jeżeli wszystko się zgadza – przeglądarka oraz serwer uzgadniają algorytm szyfrowania i generują klucz, przy pomocy którego szyfrowane będą wszystkie informacje wprowadzane przez użytkownika: dane logowania, adresy, numery kart itd. Klucz szyfrujący jest unikalny dla tej jednej, konkretnej sesji.
  3. Dane można rozszyfrować tylko z kluczem sesji. Jeśli ktoś próbowałby przechwycić pakiet danych w trakcie transmisji, zobaczyłby bezużyteczny ciąg znaków.
  4. Co ważne – sam klucz sesji także jest zaszyfrowany, przy pomocy tzw. klucza publicznego, który serwer udostępnia przeglądarce wraz z certyfikatem SSL. Natomiast aby go odczytać, potrzebny jest klucz prywatny, przechowywany wyłącznie na serwerze strony.

Dlaczego certyfikat SSL jest tak ważny dla sklepu internetowego?

Dziś praktycznie się nie zdarza, aby e-sklep nie miał certyfikatu SSL. Dlaczego?

Wiarygodność i współczynnik konwersji

Klienci są teraz bardzo wyczuleni na bezpieczeństwo swoich danych. A brak szyfrowania jest widoczny od razu po wejściu na stronę:

Strona bez certyfikatu SSL

Przykład niezabezpieczonej witryny

Każda przeglądarka – od Chrome’a po Safari – wyświetla po wejściu na stronę bez certyfikatu SSL/TLS jasny komunikat na pasku adresu, że witryna jest niebezpieczna, a dane użytkownika zagrożone. Zdecydowana większość potencjalnych klientów, mając na ekranie taki komunikat, od razu zrezygnuje z zakupów w sklepie. Pozostali? Duża szansa, że nawet jeśli zostaną na stronie, to na etapie płatności i tak się wycofają. Baymard Institute spytało ok. tysiąca konsumentów z USA, dlaczego tak chętnie porzucają pełne koszyki w e-sklepach. Aż 19% z nich robi to regularnie dlatego, że boją się podać np. dane swojej karty… co wynika właśnie z braku zaufania.

SEO

Jest jeszcze jeden powód. Już od 2014 roku Google oficjalnie traktuje obecność certyfikatu SSL jako jeden z czynników rankingowych dla wyników wyszukiwania. Na pierwszych stronach bardzo trudno znaleźć witryny, które nie mają szyfrowania danych – i to pokazuje, że zachęty giganta z Mountain View do wdrażania SSL rzeczywiście działają.

Jakie konsekwencje niesie brak certyfikatu SSL?

SSL w e-commerce to konieczność. Jeśli jednak zaczniesz sprzedaż bez certyfikatu, musisz liczyć się z tym, że:

  • na wejściu stracisz zdecydowaną większość potencjalnych klientów;
  • wypozycjonowanie strony sklepu na czołowe pozycje w Google będzie niemożliwe;
  • będziesz mieć problem z wdrożeniem podstawowych narzędzi w sklepie; wiele systemów płatności online (np. PayU czy Przelewy24) wymaga aktywnego certyfikatu SSL, aby w ogóle mogły działać.

Jakie są rodzaje certyfikatów SSL i który wybrać dla e-commerce?

Certyfikaty SSL/TLS mają kilka „poziomów” – Domain Validation, Organization Validation oraz Extended Validation.

  1. Certyfikat DV (Domain Validation)

    Większość stron WWW korzysta z certyfikatu DV, między innymi dlatego, że można go otrzymać za darmo – np. z Let’s Encrypt – i wdrożyć w kilka minut.

    Sęk w tym, że przed jego wydaniem urząd certyfikacji sprawdza jedynie, czy osoba zamawiająca certyfikat faktycznie zarządza daną domeną – nie weryfikuje w żaden sposób danych firmy, która stoi za stroną. Czy to problem? Dla małych sklepów niekoniecznie, bo poza kwestią weryfikacji certyfikat DV działa i wygląda dokładnie tak samo jak OV oraz EV.

  2. Certyfikat OV (Organization Validation)

    Tutaj weryfikacji podlega już cała organizacja. Do wniosku o wydanie certyfikatu trzeba dostarczyć dokumenty rejestrowe firmy, na przykład z KRS – ale w zamian za to certyfikat staje się swego rodzaju dowodem, że firma faktycznie ma prawa do posługiwania się daną domeną. I, co ważne, każdy może to sprawdzić w szczegółach certyfikatu.

    SSL - szczegóły

    Szczegóły certyfikatu

  3. Certyfikat EV (Extended Validation)

    Najwyższy poziom – przy wydawaniu certyfikatu urząd certyfikacji bardzo dokładnie sprawdza stan prawny firmy oraz uprawnienia osób wnioskujących, a cała procedura kończy się rozmową telefoniczną z pracownikiem urzędu.

    Obecnie z tej opcji korzystają niemal wyłącznie największe sklepy – te, które obawiają się, że przestępcy mogą się podszywać pod ich domeny w celu wyłudzania danych od klientów. Kiedyś argumentów za certyfikatami EV było o wiele więcej; wszystkie popularne przeglądarki wyróżniały strony ze zweryfikowanymi danymi organizacji tzw. green barem, takim jak tutaj:

    Green bar

    Źródło: dreamhost.com

    Jednak w 2018 roku z takich oznaczeń najpierw zrezygnowano w Chrome, a niedługo potem i w innych przeglądarkach. Teraz, aby sprawdzić, czy firma ma zweryfikowaną tożsamość, czy nie, trzeba wejść w szczegóły certyfikatu, czego nikt na co dzień raczej nie robi.

    Ale wciąż – EV to najlepszy certyfkat SSL dla e-commerce.

  4. Certyfikaty Wildcard i SAN/UCC

    Poza tym istnieją jeszcze dwa rodzaje certyfikatów SSL:

    • Wildcard – zabezpiecza domenę główną oraz wszystkie jej subdomeny, na przykład: sklep.pl oraz blog.sklep.pl.
    • SAN lub UCC – pozwalają zabezpieczyć wiele różnych domen w ramach jednego certyfikatu, na przykład: sklep.pl, hurtownia.pl i blog-firmowy.pl.

Darmowy certyfikat SSL czy certyfikat płatny? Co wybrać?

Tak jak wspomnieliśmy, jest kilka możliwości, aby zdobyć certyfikat SSL za darmo. Najpopularniejszą jest Let’s Encrypt, ale możesz też sprawdzić np. ZeroSSL; darmowe certyfikaty czasem wydają również dostawcy hostingu. I warto podkreślić, że są one równie bezpieczne, jak te płatne.

Natomiast jeżeli potrzebujesz certyfikatu z weryfikacją danych swojej firmy, wtedy jedyną opcją będzie któraś z płatnych usług. Certyfikat OV to z reguły koszt rzędu 400-600 zł rocznie, EV – co najmniej 1000-1500 zł rocznie; wszystko zależy oczywiście od liczby domen/subdomen oraz od tego, czy wraz z certyfikatem dostawca oferuje jakieś dodatkowe usługi, na przykład gwarancję finansową w razie wycieku danych. Mówimy tu o bardzo wysokich kwotach, nawet do miliona złotych – dla większych sklepów to może być dobry argument „za” płatnym certyfikatem.

A więc jaki SSL wybrać?

Jeśli prowadzisz mały sklep możesz bez obaw zacząć z darmowym certyfikatem i pomyśleć o przejściu na płatny wraz z rozwojem działalności.

Prowadzisz większy e-commerce, pracujesz głównie z klientami B2B lub działasz w branży o bardziej rygorystycznych standardach? Warto od razu zainwestować w certyfikat SSL na poziomie OV lub EV – wsparcie techniczne i gwarancje na wypadek wycieku powinny być warte kilkuset złotych rocznie, które przyjdzie Ci za nie zapłacić.

Przeczytaj także

Certyfikat SSL – od zakupu do wdrożenia

Jak zainstalować SSL? Wdrożenie samego certyfikatu w sklepie internetowym nie jest trudne; przez prawie całą procedurę powinien Cię przeprowadzić hostingodawca.

  • Najpierw zamów certyfikat bezpieczeństwa – jeśli zdecydujesz się na płatną wersję, możesz to zrobić albo u zewnętrznego dostawcy (na naszym rynku popularną opcją jest np. Certum, prowadzone przez Asseco), albo u dostawcy hostingu; obecnie wszyscy główni dostawcy w Polsce oferują taką opcję.
  • Po zamówieniu:;
    • wygeneruj CSR – Certificate Signing Request – w panelu domeny na swoim hostingu i prześlij go do dostawcy certyfikatu;
    • jeśli wybierasz certyfikat OV/EV – musisz przejść przez proces weryfikacji danych firmy. Zajmie on maksymalnie kilka dni;
    • na końcu otrzymasz gotowy certyfikat (+ klucz prywatny) do wgrania na hosting.
  • W panelu klienta/administratora na każdym hostingu powinna się znaleźć zakładka Certyfikaty SSL – wystarczy tam wgrać certyfikat i klucz dla chronionej domeny zgodnie z instrukcją hostingodawcy. Jeśli kupiłeś certyfikat za pośrednictwem dostawcy hostingu, prawdopodobnie zostanie wgrany automatycznie.
  • Najważniejszy punkt – koniecznie przekieruj cały ruch ze stron z adresem http… na https…; bez tego roboty indeksujące Google będą widziały dwie wersje tej samej strony. Przekierowania 301 (czyli stałe) możesz łatwo wdrożyć albo w panelu swojego CMS-a z pomocą dostępnych pluginów, albo w plikach konfiguracyjnych na serwerze.

Pamiętaj też, że każdy certyfikat SSL ma swoją datę ważności, po której trzeba go odnowić. W przypadku darmowych opcji z reguły jest to 90 dni z możliwością automatycznego odnawiania – tak to działa w Let’s Encrypt. Płatny certyfikat otrzymuje się najczęściej na rok i, jeśli jest to certyfikat OV/EV, trzeba go odnowić ręcznie i przejść jeszcze raz przez weryfikację.

Piotr Sztuka

Specjalista SEO

Wiele osób wciąż postrzega SSL jako koszt techniczny. To błąd krytyczny. Z perspektywy optymalizacji dla wyszukiwarek (SEO) protokół HTTPS jest bazowym sygnałem bezpieczeństwa, który Google uznaje od lat. Bez tej kłódki żaden sklep internetowy nie ma szans skutecznie rywalizować. Co ważniejsze, szyfrowanie to fundament zaufania. W erze AI Overviews i zaostrzonych standardów E-E-A-T witryny, które nie chronią danych użytkowników, są natychmiast dyskwalifikowane. Inwestycja w odpowiedni certyfikat, np. EV, to nie tylko dbanie o szyfrowanie połączenia. To bezpośrednie zwiększanie współczynnika konwersji, ponieważ wzmacniamy wiarygodność marki w oczach klienta.

Najczęściej zadawane pytania

Czy certyfikat SSL jest obowiązkowy dla sklepu internetowego?

Zdecydowanie tak. Użytkownicy nie ufają stronom bez certyfikatu, Google traktuje jego brak jako poważną lukę, a wszyscy główni operatorzy płatności wręcz wymagają aktywnego SSL dla sklepu internetowego.

Jak długo trwa proces weryfikacji i wystawienia certyfikatów?

To zależy. Certyfikaty DV są z reguły generowane automatycznie, nawet w ciągu kilku minut. Natomiast weryfikacja danych do certyfikatów OV i EV może zająć dzień, dwa – w rzadkich przypadkach nawet tydzień.

Jak sprawdzić, czy certyfikat SSL na mojej stronie działa poprawnie?

Możesz to zrobić ręcznie, klikając kłódkę na pasku ekranu i sprawdzając, czy szczegóły certyfikatu się zgadzają. Albo – i tę opcję polecamy – skorzystać z darmowego SSL Labs od Qualys.

Czy certyfikat SSL chroni przed włamaniem na serwer?

Niestety nie. Protokół SSL/TLS chroni wyłącznie transmisję danych pomiędzy przeglądarką użytkownika a serwerem. Natomiast nie zabezpiecza serwera ani aplikacji przed malware’em czy lukami w oprogramowaniu.

Co się stanie z moim sklepem i SEO, jeśli zapomnę odnowić certyfikat SSL?

Przede wszystkim klienci zobaczą na stronie błąd połączenia niezabezpieczonego i komunikat, że ich dane mogą być zagrożone – większość na pewno zrezygnuje z zakupów. Jeśli problem potrwa dłużej niż kilka godzin, Google też powinno to odnotować i uznać stronę za potencjalnie niebezpieczną, co może skutkować drastycznym spadkiem pozycji w SERPach.

O autorze
Sebastian Zawadzki

Sebastian Zawadzki

Tech Lead

Web-developer od najmłodszych lat. Zaczynał od prostego forum. Dziś obsługuje zaawansowane portale i sklepy. Po godzinach strażak i pasjonat rozwiązań IoT.

Oceń wpis
0

Chcesz stworzyć bezpieczny sklep internetowy?