Czego się dowiesz z tego artykułu?

  • Czym jest certyfikat SSL?
  • Czy jest Ci potrzebny?
  • Jaką wersję wybrać dla Twojego biznesu?
  • Czy dzięki HTTPS Twoja strona będzie wyżej w Google?
  • Z jakimi zagrożeniami wiążę się wdrożenie certyfikatu SSL?

Czym jest certyfikat SSL (HTTPS)?

Certyfikat SSL (HTTPS, ang Hypertext Transfer Protocol Secure), to rodzaj uwierzytelnienia, które szyfruje dane po stronie serwera strony internetowej, tak aby tylko klient (przeglądarka internetowa) mogła je odczytać. SSL pomaga więc w zabezpieczeniu przed przejęciem danych po drodze.

Certyfikat SSL zabezpiecza wszelkie dane, które widzisz na stronie, na przykład gdy jesteś zalogowany do serwisu bankowego. Działa to też w drugą stronę i dzięki protokołowi HTTPS nikt nie może zobaczyć np. danych karty, które podajesz podczas zakupów w sklepie internetowym.

Czy certyfikat SSL jest mi potrzebny?

W większości przypadków używanie certyfikatu SSL będzie wskazane, wynika to po prostu z zasad bezpieczeństwa. Prawie każda strona internetowa (w szczególności te komercyjne) przetwarza dane. Mogą do być dane osobowe (newsletter), transakcje (w sklepach internetowych), informacje o zamówieniach itd.

Jeśli prowadzisz bloga hobbistycznego z małym ruchem i w ogóle nie zarabiasz na jego działalności, możesz odpuścić ten temat. Z drugiej strony w wielu przypadkach instalacja certyfikatu SSL jest bardzo tania lub nawet darmowa. Za taką cenę zyskujesz zaufanie użytkowników.

Czy SSL wpływa na SEO / pozycjonowanie strony?

Na początku muszę zaznaczyć, że w ostatnich latach Google bardzo promowało, a nawet zmuszało właścicieli stron internetowych do wdrażania certyfikatów SSL. Wynika to jednak z chęci zwiększenia bezpieczeństwa w internecie.

Oczywiście nie da się tego jednoznacznie stwierdzić, jednak bazując na tym co obserwujemy w wynikach wyszukiwania — posiadanie certyfikatu SSL nie wpływa na wyższe pozycje, lepszy ruch itd. Jeśli dodasz protokół HTTPS do swojej strony, nie zwiększy to zasięgów Twojej domeny.

W zasadzie jeśli wdrożenie będzie niewłaściwe, może to stworzyć zagrożenie i chwilową utratę ruchu, o czym napisze w dalszej części tego artykułu.

Czy to oznacza, że nie warto się interesować certyfikatem SSL w kontekście SEO?

Zdecydowanie nie, certyfikat SSL jest ważny z punktu widzenia użytkownika i jego postrzegania własnego bezpieczeństwa. Twoi klienci będą się czuli o wiele lepiej, jeśli będą widzieć, że dbasz o ich bezpieczeństwa. Certyfikat SSL bardziej niż na pozycjonowanie stron wpływa na sprzedaż, czyli większa ilość klientów kupi w Twoim sklepie, czy wyśle więcej zapytań.

Jak sprawdzić, czy mam certyfikat SSL?

Sprawdzenie certyfikatu SSL jest dość proste. Aby sprawdzić, czy Twoja strona używa HTTPS, kliknij ikonę kłódki znajdującej się na lewo od paska adresu. W zależności od stanu czy przeglądarki może ona mieć różną formę (otwarta lub zamknięta) i kolor (zielony, szary, czerwony).

Po kliknięciu w ikonę zobaczysz szczegółowe informacje o stanie szyfrowania połączenia z serwerem oraz używanym protokole — HTTP lub HTTPS. Poniżej grafika prezentująca taką informację dla naszej strony w Google Chrome:

Informacja o certyfikacie SSL oraz używanym protokole.

Na powyższym przykładzie widzisz, że połączenie jest bezpieczne — certyfikat SSL działa prawidłowo przez protokół HTTPS. Nie zawsze tak będzie, oto inne stany, które mogą się pojawić:

  • Bezpieczna: Zablokuj 
  • Informacje lub Niezabezpieczona: Wyświetl informacje o witrynie 
  • Niezabezpieczona lub Niebezpieczna: Niebezpieczna 

W przypadku drugiego statusu oznaczonego ikoną informacji certyfikat jest zainstalowany, ale są pewne problemy z jego używaniem. Najczęstszą przyczyną tego są dwa problemy:

  • Zasoby są dostępne w obu protokołach — w sumie to nic złego, ale Twoja strona jest dostępna zarówno po protokole HTTP, jak i HTTPS. W takim przypadku najlepiej zrobić odpowiednie przekierowania. Napiszę jeszcze o tym później w części poświęconej migracji z HTTP na HTTPS.
  • Część elementów strony nadal ładuje się tylko po HTTP, zamiast używać protokołu SSL. To także problem związany z migracją, działa to tak, co prawda dostępna po HTTPS i poprawnie używa certyfikatu SSL jednak pewne jej zasoby (pliki js, css czy grafiki) nie są ładowane z użyciem HTTPS. Problem leży zazwyczaj w adresowaniu — trzeba będzie zamienić HTTP na HTTPS w adresie URL każdego z plików.

Jakie certyfikaty SSL mamy do wyboru?

Certyfikat SSL występuję w kilku rodzajach, a raczej poziomach bezpieczeństwa, które omówię po krótce.

Certyfikaty SSL DV (Domain Validation)

Certyfikaty SSL (Domain Validation) gwarantują szyfrowanie transmisji informacji w certyfikowanej domenie. Są to najpopularniejsze i najprostsze certyfikaty SSL (najprostsze w zakresie wydawania). Podczas wydawania certyfikatu następuje weryfikacja domeny i tylko na tym bazuje cały certyfikat.

Zakończenie procesu weryfikacyjnego ogranicza się do potwierdzenia zamówienia certyfikatu SSL wysyłanego na adres e-mail „admin@twojadomena.pl”. Adres musi istnieć w domenie, dla której kupuje się certyfikat, w tym przypadku byłaby to domena: „domena-klienta.pl”. Kliknięcie linka wysłanego przez wystawcę certyfikatu na adres np. admin@twojadomena.pl jest jedyną weryfikacją, że jest się właścicielem domeny, dla której chce się uzyskać certyfikat. Po kliknięciu linka certyfikat jest wystawiany.

Gdy zajrzymy do szczegółów certyfikatu, znajdziemy tam informacja o domenie, ale nie będzie tam żadnych informacji o firmie, dla której został on wydany.

Taki certyfikat kosztuje około 100 zł rocznie (lub może być nawet darmowy). W 99% przypadków taki certyfikat jest w zupełności wystarczający.

Certyfikaty SSL OV (Organization Validation)

Certyfikaty OV to certyfikaty SSL o rozszerzonym sposobie weryfikacji. Zanim zostanie wystawiony, musi nastąpić weryfikacja danych w oparciu o odpowiednie dokumenty rejestrowe firmy. Najczęściej trzeba przesłać mailem, faksem lub pocztą tradycyjną dokumenty, które potwierdzą dane firmy.

Różnica w stosunku do certyfikatów DV to dopisanie firmy, na jaką jest wystawiony certyfikat w szczegółach certyfikatu. Z punktu widzenia klienta, który korzysta ze strony przeglądarki, takie certyfikaty SSL wyświetlają identyczną zieloną kłódkę jak w przypadku certyfikatów DV.

Koszt takiego certyfikatu to kwoty rzędu kilkuset złotych rocznie.

Certyfikaty SSL EV (Extended Validation)

Certyfikaty SSL typu EV to najbardziej zaawansowany typ certyfikatu i wymaga dużej liczby formalności. Przy jego zakupie jednostka wydające certyfikat SSL kontaktuje się bezpośrednio z firmą, która chce go zdobyć i prosi o podesłanie dużej ilości dokumentów potwierdzających bezpieczeństwo. Procedura uzyskiwania certyfikatu jest zwykle znacznie dłuższa.

Z takiego zaawansowanego certyfikatu SSL korzystają zazwyczaj duże organizacje czy instytucje finansowe takie jak banki. Posiadanie takiego certyfikatu jest dobrze widoczne z poziomu przeglądarki, ponieważ obok zielonej kłódki będziesz w stanie zobaczyć nazwę organizacji.

Co z darmowymi certyfikatami SSL?

W sieci istnieje wiele rozwiązań darmowych związanych z certyfikatami SSL. Najbardziej znanym będzie tutaj Let’s Encrypt, który jest darmowym i w pełni funkcjonalnym certyfikatem typu DV (Domain Validation). Kolejną usługą, która oferuje darmowe certyfikaty jest Cloudflare serwis pomagający w zabezpieczeniach i przyspieszeniach stron.

Zapewne zastanawiasz się, czy warto inwestować w darmowy SSL?

Z technicznego punku widzenia, darmowy SSL nie różni się niczym od tego płatnego. Oba te certyfikaty SSL posiadają identyczne szyfrowanie i takie same zabezpieczenia. Jedyna różnica to gwarancja. Oczywiście istnieje kilka różnic, jednak nie wpływają one w żaden sposób na bezpieczeństwo, a bardziej na sposób działania czy instalacji certyfikatu SSL.

Pierwsza różnica to czas, na jaki wystawiany jest certyfikat SSL. Ten płatny wystawiany jest na okres jednego roku. Darmowy certyfikat Let’s Encrypt wystawiany jest na okres 3 miesięcy. Nie jest to jednak problemem, ponieważ certyfikat ten, odświeża się sam, gdy do końca okresu pozostaje mniej niż miesiąc. W zasadzie posiadasz więc certyfikat o nieokreślonym czasie.

Ogólnie mówiąc, jeśli nie jesteś bankiem lub instytucją zaufania publicznego, to w 99,9% przypadków darmowy certyfikat SSL będzie dla Ciebie.

Zagrożenia związane z SEO

Certyfikat SSL jest oczywiście promowany przez Google, musisz jednak pamiętać, że należy go poprawnie wdrożyć. W innym przypadku możesz zrobić swojej stronie więcej problemów niż będzie pożytku z wdrożenia protokołu HTTPS.

Przede wszystkim należy pamiętać o problemie duplikacji treści. Jeśli zainstalujesz certyfikat SSL, to każda podstrona w Twoim serwisie będzie posiadać dwie wersje (tą standardową z HTTP oraz nową z HTTPS):

  • http://octamedia.pl/blog/ssl-a-seo/
  • https://octamedia.pl/blog/ssl-a-seo/

Teoretycznie, dla robotów Google to dwie zupełnie odrębne podstrony i nie będzie wiedział, którą z nich pokazać jako wynik wyszukiwania. Efektem tego, może być stan, w którym posiadasz certyfikat SSL, ale Google kieruje ruch na wersję bez HTTPS.

Jak tego uniknąć?

Musisz zadbać o dwie ważne kwestie. Pierwszą z nich są przekierowania — powinieneś sprawić, aby każdy adres URL bez HTTPS, automatycznie przekierował na wersję z HTTPS, czyli na wersję z certyfikatem SSL. Da się to zrobić za pomcą opcji na hostingu czy nawet wtyczek w różnych systemach CMS.

Druga kwestia to linkowanie wewnętrzne i odnośniki do zasobów takich jak grafiki czy style css. Wszystkie linki do tych zasobów powinny operować na wersji z HTTPS. Oznacza to, że jeśli linkujesz do innej podstrony, to musisz zaktualizować ten link, aby używał on wersji z HTTPS.

Te dwie podstawowe zasady prawdopodobnie uchronią Cię przed utratą ruchu.

Certyfikat SSL a spadek ruchu w Google Search Console

Po instalacji certyfikatu SSL możesz zauważyć nagły spadek ruchu w Google Search Console. Od razu Ci powiem — to nie jest realny spadek wejść na stronę. Jeśli wszystko zrobiłeś poprawnie, to utrata ruchu jest pozorna. Dla Google wersje strony bez HTTPS i z HTTPS to zupełnie różne strony będziesz musiał, po prostu zweryfikować nową stronę używając adresu z HTTPS.

Wyjątkiem, gdzie nie trzeba będzie nic robić jest weryfikacja GSC na poziomie domeny. W takim przypadku Google używa danych ze wszystkich wersji domeny (z certyfikatem SSL oraz bez).

Podsumowanie

Instalacja certyfikatu SSL jest już raczej koniecznością. Co prawda nie wiele to pomoże w kwestii związanej z obecnością w Google. Nie zdobędziesz więcej ruchu czy lepszych pozycji, ale za to jego obecność wpłynie na poczucie bezpieczeństwa, a ta może zwiększyć sprzedaż na Twojej stronie.