Aby połączenie pomiędzy serwerem a klientem (przeglądarką internetową) było bezpieczne, stosuje się różne certyfikaty uwierzytelnienia. Dzięki nim mamy gwarancję, że przekazywanie danych takich jak numer karty kredytowej i inne dane wrażliwe pomiędzy serwerem a odbiorcą będzie miało miejsce tylko uprawnionym odbiorcom. Połączenie bez gwarancji bezpieczeństwa narażone jest na różnego rodzaju ataki hackerskie. Słowem: nie jest bezpieczne. Praktycznie każda witryna gromadząca dane użytkowników - adresy e-mail, adres stacjonarny, numery telefonu itp. - korzysta dzisiaj z tego rodzaju protokołu, ponieważ odszyfrowanie informacji przesyłanych tą drogą jest praktycznie niemożliwe. Za bezpieczeństwo transferu danych odpowiedzialne jest szyfrowanie. Nazwa SSL ("Secure Sockets Layer") coraz częściej zastępowana jest określeniem TLS (z angielskiego "Transport Layer Security"), ponieważ wskutek aktualizacji doszło do zmiany nazwy samego protokołu. Jednak w użyciu powszechna jest nazwa SSL. W praktyce certyfikaty SSL wykorzystuje się również do ochrony każdego rodzaju połączeń, które wymagają:

• wiarygodności
• bezpieczeństwa
• zaufania
• zgodności z ustawą RODO

Bezpieczne przesyłanie informacji pomiędzy serwerem a klientem jest możliwe dzięki szyfrowaniu. W największym skrócie, certyfikat SSL to niewielka ilość danych, która zawiera klucz kryptograficzny gwarantujący wiarygodność właściciela domeny oraz samej domeny. Jakie informacje zawiera właściwie opracowany certyfikat SSL? Przede wszystkim dane strony, która ubiegała się o jego wydanie:

• nazwę domeny
• klucz publiczny oraz wersję użytego certyfikatu SSL/TLS
• dane urzędu certyfikacji
• okres ważności certyfikatu
• algorytm klucza publicznego
• algorytm certyfikatu

Podczas połączenia przeglądarka wysyła zapytanie do serwera aby ten potwierdził swoją tożsamość. Serwer odsyła kopię swojego certyfikatu SSL. Po uwiarygodnieniu certyfikatu połączenie może zostać nawiązane i zaszyfrowane dane trafiają z serwera do przeglądarki i odwrotnie. Większość certyfikatów - Wildcard, Multi Domain, Code Signing czy Single Domain (najprostsze, wykorzystywane do zabezpieczenia pojedynczej nazwy domeny) stosują właśnie tego typu rozwiązanie.

Ustawa o ochronie danych osobowych, która weszła w życie 25 maja 2018 r. wprowadziła wiele obostrzeń w zakresie przechowywania i przetwarzania danych. Co interesujące, nie nakłada ona obowiązku korzystania z certyfikatów SSL wprost. Znajdują się w niej jednak wymagania, których spełnienie wymaga zastosowania SSL w praktyce. Jeden z artykułów mówi:

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

1. pseudonimizację i szyfrowanie danych osobowych;
2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; [...]

Ochronę za pomocą odpowiednich środków technicznych i organizacyjnych" najlepiej zapewnić stosując odpowiednie certyfikaty SSL. Tanie, darmowe lub jakiekolwiek inne - kółko się więc zamyka

Oczywiście istnieje wiele rozmaitych technologii i typów certyfikatów SSL, można uszeregować je według wystawcy (tych jest bardzo wielu, np Entrust, Sectigo, DigiCert czy Thawte), według stosowanej technologii (Extended Validation albo Server Gated Cryptography), według typu (Single Domain, Multi Domain, Wildcard certyfikat, Code Signing, IDN, UC itp.). To oczywiście nie wyczerpuje wszystkich opcji, które ma do dyspozycji nabywca. Coraz popularniejsze są darmowe i tanie certyfikaty SSL (na przykład dla paneli cPanel czy DirectAdmin). Certyfikaty typu Domain Validation charakteryzują się szybką możliwością uzyskania i przeznaczone są dla osób fizycznych i prawnych. Z kolei SSL typu Organization Validation, jak sama nazwa wskazuje, przeznaczone są dla firm - te zwykle charakteryzują się większym poziomem wiarygodności. Najwyższy poziom zabezpieczeń gwarantują jednak certyfikaty typu Extended Validation. Poza weryfikacją prawa do posługiwania się domeną i sprawdzeniem, czy dana firma w ogóle istnieje, jednostka certyfikująca przeprowadza drobiazgowy wywiad celem weryfikacji wnioskodawcy.

W odróżnieniu od zwykłego połączenia HTTP, certyfikat HTTPS jest jego zmodyfikowaną wersją. Połączenie nawiązane tą drogą posiada dodatkową warstwę szyfrowania i identyfikuje witrynę jako bezpieczną, poświadczając własność domeny. Właściciel witryny z zainstalowanym i poprawnie skonfigurowanym certyfikatem SSL może korzystać z protokołu HTTPS. Obie te technologie służą do jednoczesnego wykorzystania i nie można używać ich oddzielnie. Przy połączeniu bezpiecznym, adres URL w przeglądarce będzie wówczas poprzedzony przedrostkiem HTTPS. Większość przeglądarek internetowych - Chrome, Safari, Firefox, Opera, Edge - wyświetla stosowną informację o nawiązaniu bezpiecznego połączenia w postaci kłódki w okolicy paska adresowego lub w inny sposób dając internautom do zrozumienia, że nawiązują bezpieczne, lub niezaufane połączenie. Łącząc się w sposób niezabezpieczony ryzykujemy otwarcie strony, która podszywa się pod określoną domenę, lub utratę danych. Zwykłemu internaucie zazwyczaj nic nie grozi przy codziennym przeglądaniu Internetu, jednak przy zakupach, bankowości elektronicznej czy innych usługach zaufane połączenie jest kluczowe.

Strony certyfikowane stają się dzisiaj standardem, nie tylko wskutek stosownych wymogów prawnych (patrz informacja o RODO powyżej). Jeszcze niedawno panowało przekonanie, że integracja certyfikatu SSL dla domeny ze stroną to jedynie chwyt marketingowy i że poza bankami nikt nie czerpie z tego powodu korzyści. Prawda jest oczywiście inna. Certyfikat SSL dla domeny oznacza ni mniej ni więcej tylko to, że jej właścicielowi zależy na bezpieczeństwie odwiedzających. Praktycznie każda biznesowa strona powinna być zabezpieczona odpowiednim certyfikatem choćby ze względu na zaufanie, którym darzą usługodawcę internauci. SSL to:

• gwarancja, że dane przesyłane w obie strony są bezpieczne
• lepsze pozycjonowanie w wyszukiwarkach
• możliwość dokonywania bezpiecznych płatności
• mniejsza szansa, że dane użytkowników nie wpadną w niepowołane ręce

Jak pokazuje powyższe zestawienie, wygląda na to, że prowadzenie jakiegokolwiek biznesu przez Internet wymaga posiadania odpowiedniego certyfikatu SSL. Bezpieczeństwo internetowych transakcji oraz troska o dane osobowe są dziś dla większości internautów priorytetem.

Każdy z nas zadawał sobie to pytanie: czy moja strona musi mieć certyfikat wildcard SSL? Oczywiście nie każda strona musi posiadać certyfikatu bezpieczeństwa. Każdy odwiedzający ją internauta zobaczy wówczas stosowne powiadomienie w oknie przeglądarki. Przyznajmy, nie jest to pierwsza informacja, którą większość z właścicieli witryn chciałaby zakomunikować odwiedzającym. Taka witryna traci na starcie przy odwiedzeniu przez boty Bing, Google i innych wyszukiwarek - od jakiegoś czasu firmy z Doliny Krzemowej premiują używanie SSL certyfikatu i takie strony mają szansa znaleźć się wyżej w wyszukiwarkach niż witryny niezabezpieczone. Taka witryna jest również zagrożona phishingiem - ktoś może się pod nią podszyć aby wyłudzić dane, lub prezentować treści, pod którymi niekoniecznie byśmy się sami podpisali imieniem i nazwiskiem. A zatem: brak poczucia bezpieczeństwa, ryzyko phishingu i innych oszustw, gorsze pozycjonowanie. Certyfikat wildcard, comodo, rapidssl i wiele innych mogą temu w łatwy i tani sposób zapobiec.

O stratach, jakie mogą się wiązać z brakiem wyposażenia witryny w stosowny certyfikat SSL pisaliśmy powyżej. Czas przyjrzeć się zaletom. Tak się składa, że są one dokładnie przeciwieństwem braków. A zatem, po pierwsze, nasza witryna jest lepiej postrzegana przez odwiedzających. Znak kłódki w pasku przeglądarki to sygnał, że dbamy o bezpieczeństwo. Wydawałoby się, że to korzyść czysto wizerunkowa. Jednak z uwagi na coraz większą świadomość internautów, SSL certyfikat przyczynia się zarówno do zwiększonej sprzedaży w internetowych sklepach, jak również do dłuższego pozostania na stronie (o ile w ogóle ktokolwiek zechce z niej korzystać). To także korzyść w postaci lepszego pozycjonowania przez wyszukiwarki. Wprawdzie znaczna część witryn dzisiaj posiada już certyfikaty bezpieczeństwa, ale wciąż są tacy, którzy to zaniedbali i dlaczego by tej szansy nie wykorzystać. Największą korzyścią naturalnie jest bezpieczeństwo samo w sobie i możliwość uniknięcia kary (która wynieść może aż 20 mln euro w przypadku nie zapewnienia odpowiednich warunków do korzystania z witryny). Nikt przecież nie chce, aby dane pacjentów, klientów sklepu czy innych kontrahentów znalazły się w niepowołanych rękach.

Wydawać by się mogło, że dzięki szyfrowaniu, jawny tekst przesyłany w zwykły sposób staje się niemożliwy do odczytania dla osoby postronnej, nie znającej szyfru. Naturalnie to tylko teoria. W dobie superszybkich komputerów o ogromnej mocy obliczeniowej wiele z ogólnie dostępnych metod kryptograficznych można bez trudu złamać metodą "brute force". Certyfikaty SSL stosowane powszechnie umożliwiają ustawienie przez właściciela serwera algorytmu szyfrowania o odpowiedniej mocy, tak aby złamanie klucza publicznego musiało zająć wystarczająco dużo czasu, zniechęcając potencjalnego włamywacza. Dzisiejsze 256-bitowe algorytmy ECC pozwalają na zapewnienie poziomu bezpieczeństwa, jaki można osiągnąć przy użyciu 3072-bitowego klucza w przypadku stosowanego przed długi czas algorytmu DSA czy RSA. Wielokrotnie mniejszy rozmiar klucza i samego certyfikatu przyczynia się do zwiększenia wydajności całego systemu. Należy jednak wspomnieć, że dla zwykłego użytkownika moc szyfrowania ma znaczenie drugorzędne. Dopiero przy większym przepływie danych i znacznej ilości operacji długość klucza a co za tym idzie i jego bezpieczeństwo zaczyna mieć znaczenie.

Na pozycję strony w wynikach wyszukiwania wpływa wiele czynników - linkowanie z witrynami o wysokim współczynniku wiarygodności, słowa kluczowe i ich rozmieszczenie itd. Od 2014 r. Google oficjalnie ogłosiło, że będzie premiowało domeny wyposażone w certyfikaty SSL wyższym pozycjonowaniem w rankingach wyszukiwania. Miało to skutkować zwiększeniem "widzialności" bezpiecznych stron. Jak to wygląda w praktyce? Analizy wykonane na ogromnej liczbie wyników wyszukiwania (grubo ponad milion) wykazały, że HTTPS i SEO idą w parze, ale nie aż tak, jak by tego można było oczekiwać - mowa jest o ok. 20-30% zwiększeniu widoczności strony certyfikowanej w porównaniu do tej, która wykorzystuje zwykły protokół HTTP. Oznacza to, że zakup certyfikatu WYŁĄCZNIE w celach polepszenia pozycji witryny w rankingach nie jest najlepszą decyzją. Tak czy owak SSL nabiera na znaczeniu z każdym kolejnym miesiącem i ponieważ staje się powoli obowiązującym standardem, należy po prostu go wdrożyć - niezrobienie tego raczej wcześniej niż później może przestać nam się opłacać.

Jak mówi stare przysłowie - nie ma darmowych obiadów. Jednak istnieją darmowe certyfikaty SSL. Czy każdy może zdecydować się na takie rozwiązanie? Pojawienie się darmowych certyfikatów zdecydowanie wpłynęło na popularność HTTPS wśród administratorów domen. Darmowy certyfikat SSL możemy wygenerować samodzielnie, chociażby przy pomocy klienta o nazwie Certbot. Czy posiadamy wystarczającą wiarygodność, która sprawi, że zaufają nam wszyscy internauci? Niekoniecznie. Ale dla wielu osób właśnie ta darmowa metoda może okazać się wystarczająca. Problem polega na tym, że darmowe certyfikaty zapewniają nam najniższy poziom bezpieczeństwa, mianowicie DV (Domain Validation). W zupełności wystarczy to do prowadzenia małego bloga - nikt z odwiedzających nie będzie narzekał, że za naszym SSL nie stoi renomowane ciało certyfikujące. Darmowy certyfikat zwykle wygasa po okresie 30-90 dni i należy go odnowić. W przypadku większych biznesów - czy też biznesów w ogóle - lepiej zaopatrzyć się w bardziej zaufany SSL, którego przedłużenie będzie konieczne po upływie roku lub dwóch. O gwarancji nie wspominając.

Wybór właściwego certyfikatu SSL oznacza nie tylko uszczuplenie portfela. Oferta na rynku jest na tyle zróżnicowana, że zarówno dla mniejszych jak i dużych klientów można znaleźć odpowiednie rozwiązanie. W poniższej tabelce zestawiliśmy najpopularniejsze rodzaje certyfikatów dostępnych na rynku w zależności od oferowanego poziomu zabezpieczeń oraz ilości domen objętych zabezpieczeniem. Kilkanaście, kilkadziesiąt czy nawet kilkaset złotych rocznie - decyzja odnośnie ceny należy oczywiście do klienta.

Zdecydowana większość właścicieli witryn nie implementuje w sposób prawidłowy certyfikatu SSL: 90% z 10 tys. najpopularniejszych domen nie wdrożyło wystarczająco poprawnie HTTPS a w 65% przypadków usługa ta w ogóle nie działała dobrze. Jak wyglądają najczęstsze błędy przy instalacji tego rozwiązania? Co robić, gdy wyświetla się informacja, że połączenie nadal jest niezaufane lub niebezpieczne?

• brak przekierowania - powstają dwie oddzielne strony, HTTP i HTTPS zarówno dla botów wyszukiwarek jak i użytkowników. Przekierowanie można zrobić zmieniając odpowiednią wartość w pliku .htaccess albo zmieniając nagłówek PHP
• brak aktualizacji mapy strony, do której wydany jest certyfikat SSL - wystarczy wgrać nową mapę w konsoli Google Search.
• błąd indeksowania strony w wyszukiwarkach - należy sprawdzić, czy boty mają do niej swobodny dostęp, aby móc indeksować jej zawartość
• nieważne lub wygasłe certyfikaty HTTPS, słaby klucz tymczasowy, certyfikat wydany dla innej witryny, błędy zawartości mieszanej - na to wszystko możemy natrafić w przypadku błędnej instalacji lub nieodpowiedniego przygotowania witryny po prawidłowo zainstalowanym certyfikacie na serwerze.

Właściwie zaimplementowany certyfikat SSL zostaje rozpoznany przez nowoczesne przeglądarki. W przypadku gdy nie występują żadne błędy, lub gdy certyfikat nie jest unieważniony lub wygasły (patrz wyżej), w pasku adresu powinien pojawić się stosowny symbol - w przypadku praktycznie wszystkich przeglądarek jest to dzisiaj kłódka, niezależnie od systemu operacyjnego. Mniej popularne przeglądarki (np. Konqueror) stosują symbol zielonej tarczy. Z punktu widzenia odwiedzającego witrynę ta informacja jednak nie daje pełnego obrazu - symbol kłódki nie oznacza nic innego, jak to, że połączenie pomiędzy serwerem a przeglądarką jest szyfrowane. Biorąc jednak pod uwagę mnogość błędów przy implementacji certyfikatów i stosowanie darmowych, łatwych do złamania metod szyfrujących. Jak donosi serwis PhishLabs, 79% wszystkich wyłudzeń (phishing) przeprowadzonych na różnych stronach miało miejsce podczas "bezpiecznego" połączenia HTTPS - czyli przy wyświetleniu kłódki w przeglądarce. Jak więc widać, liczy się jakość SSL, a nie sam fakt jego zainstalowania.