22 stycznia 2015
Aktualizacja: 18 października 2020

Certyfikaty SSL – zalety, wady i mity

Kategoria: Bezpieczeństwo
Tagi: dla profesjonalistów,
Autor: Paweł Mansfeld

Certyfikaty SSL zapewniają ochronę transmisji danych i ich poufność w Internecie. Wysoka skuteczność tego rozwiązania spowodowała, że stało się to standardem na całym świecie i teraz każdy ma okazję zobaczyć zielony adres strony  z kłódką podczas korzystania z np. bankowości internetowej lub w systemach płatności online.

Nie podejmowałbym tego tematu na tym blogu gdyby nie fakt, że zagadnienia związane z tymi certyfikatami są coraz częściej poruszane na forach związanych z pozycjonowaniem i SEO. Dlaczego tak jest?

Wszystko jak zwykle zaczęło się od paru niewinnych postów, kilku obserwacji i naturalnej skłonności ludzi do wyciągania pochopnych wniosków. Nie da się jednak ukryć, że coś na rzeczy jest. O poprawie pozycji w wynikach wyszukiwania nawet Google mówi wprost (link) a dostawcy usług hostingowych już od dawna prześcigają się w promocji certyfikatów wykorzystując SEO argumenty. Przy tego typu sensacjach zawsze pojawiają się wątpliwości: „czy w moim przypadku warto?”. Niczego nie zastąpi w tej sytuacji wypunktowanie tak zwanych za i przeciw.

Ten artykuł dotyczy teorii. Jeżeli chcesz wdrożyć SSL w praktyce zapraszam do poradnika: Przekierowanie 301 SSL – Zmiana adresu HTTP na HTTPS

Zalety stosowania certyfikatów SSL

  • zapewnienie użytkownikom prywatności uniemożliwiając podsłuchiwanie transmisji danych
  • gwarancja autentyczności i poprawności pobieranych danych
  • poczucie komfortu podczas surfowania i lepszy user experience
  • poprawa wizerunku firmy i wszelkie powiązane korzyści np. większa sprzedaż w sklepie internetowym,
  • relatywnie niski koszt i łatwa instalacja na dowolnym hostingu
  • poprawa pozycji w wynikach wyszukiwania,
  • darmowy SSL Let’s encrypt dostępny obecnie na każdym rodzaju hostingu,
  • możliwość wykorzystania technologii PWA – Progressive Web Apps
  • możliwość włączenia protokołu HTTP/2,
  • możliwość skorzystania z bramek płatności,
  • możliwość integracji z federated login np. zaloguj przez Google.

Wady certyfikatów SSL

  • z natury rzeczy, niższa prędkość działania strony (szczegóły poniżej),
  • dodatkowy koszt związany ze stroną internetową, ponieważ niektóre certyfikaty są płatne,
  • możliwość pojawienia się ostrzeżenia w źle skonfigurowanych przeglądarkach (problem może spowodować np. nieprawidłowo ustawiona data na komputerze klienta),
  • konieczność posiadania dedykowanego adresu IP w przypadku certyfikatów wyższego stopnia (co może zwiększyć koszt instalacji, jeżeli do tej pory go nie posiadamy),
  • dodatkowe prace serwisowe – trzeba pamiętać o corocznym odnawianiu lub ustawienia zadania CRON,
  • nieznaczne utrudnienia przy migracji strony czy skalowaniu.

Opóźnienie wynikające ze stosowania SSL

Jak widać sam handshake SSL zajmuje na mojej stronie 60ms, pozostaje nam jeszcze zsumować opóźnienie SSL generowane przez inne zasoby. W sumie mamy ok. 100ms. Przy wielu elementach, może się tego nazbierać. Jako dowód poniżej zrzut z testu Pingdom mojej strony internetowej:

opóźnienie SSL

Wpływ SSL na TTFB pokazuje też znane narzędzie Bytecheck:

Mity związane z SSL

  • koszt posiadania certyfikatu jest bardzo wysoki – nieprawda, obecnie można znaleźć promocje w których koszt rocznego certyfikatu DV nie przekracza kwoty 100zł, nawet koszt certyfiaktów EV nie jest wysoki biorąc pod uwagę, że płaci się go raz na rok i zwiększa wiarygodność witryny WWW.
  • HTTPS jest dla dużych firm i korporacji – nieprawda, atakom ulegają także małe strony i sklepy, i warto nawet w nich skorzystać z poprawy pozycjonowania lub wykorzystania nowych technologii,
  • zabawa w certyfikaty jest trudna i czasochłonna – nieprawda, certyfikaty DV otrzymuję się już chwilę po uregulowaniu płatności a całość w wykonaniu jest bardzo prosta.

Do największej korzyści należy wliczyć te związane z samym bezpieczeństwem. Nie wnikając w szczegóły można powiedzieć, że działający na stronie SSL oznacza, że zapytania i odpowiedzi HTTP „widzą” tylko przeglądarka klienta i strona docelowa. Nie trzeba być ekspertem od zabezpieczeń aby ten fakt docenić.

Certyfikat certyfikatowi nie równy a to dlatego, że istnieją trzy klasy (rodzaje) zabezpieczeń

  1. Certyfikaty klasy DV (Domain Validation) – gwarantują szyfrowanie transmisji danych w domenie. Wydawanie certyfikatu polega na weryfikacji domeny i tego czy strona pod tym adresem działa. Proces kończy się poprzez kliknięcie przez nas w link aktywacyjny przesłany na nasz e-mail, edycję strefy DNS lub następuje automatycznie w hostingu zarządzanym. Mimo, że jest to najtańsza opcja certyfikatu już ona gwarantuje stosunkowo wysoki poziom zabezpieczeń i pozytywny wpływ na SEO. Jest wydawany automatycznie, niemal natychmiast.
  2. Certyfikaty klasy OV (Organization Validation) – dodatkowo weryfikowane są dane organizacji wnioskującej. Podczas procesu weryfikacyjnego wymagane jest dostarczenie dokumentów rejestracyjnych firmy takie jak: KRS, umowa spółki itp. Nazwa firmy będzie widoczna w szczegółach wystawionego certyfikatu SSL. Czas oczekiwania na wydanie certyfikatu to od 1 do 5 dni.
  3. Certyfikaty klasy EV (Extended Validation) – przeprowadzona zostaje silniejsza weryfikacja tożsamości firmy. W przeglądarkach, cały czas widnieje zielony pasek z nazwą firmy przed adresem WWW co może wzbudzać jeszcze większe zaufanie i szacunek Internautów. Najsilniejszy poziom zabezpieczeń stosowany przez wielkie firmy i banki. Uwaga, do złożenia wniosku oraz weryfikacji niezbędna jest znajomość języka angielskiego. W przypadku certyfikatu EV na wydanie też czekamy od 1 do 5 dni.

Czy warto dopłacać do płatnego certyfikatu SSL (OV i EV)?

Z powyższej listy cech, można wywnioskować, że w grę wchodzą kwestie wizerunkowe, SEO i sam proces weryfikacji.

W kwestii wizerunku różnicę widać po kliknięciu w symbol kłódki w pasku adresu. Pod napisem Certificate (Valid) w certyfikacie EV jest informacja, że certyfikat został wydany dla konkretnej firmy. W darmowym certyfikacie tego nie ma. Tzw. zielony pasek z nazwą firmy w pasku adresu to już przeszłość. Prawdopodobnie mało kto klika w kłódkę przy adresie podczas korzystania ze strony czy sklepu internetowego.

Na blogach SEO, forach i w oficjalnych materiałach twórców wyszukiwarki nie ma informacji o tym, że płatny certyfikat pomaga w pozycjonowaniu – choć na intuicję powinien mieć chociaż lekki pozytywny wpływ.

Sama weryfikacja i czas oczekiwania też nie powinien być problematyczny. Być może dodatkowy koszt powoduje to, że większość firm a nawet serwisów e-commerce pozostaje przy darmowym certyfikacie SSL.

Chcesz wiedzieć więcej?

Przejdź do artykułu, w którym prostymi słowami wyjaśniam na czym polega bezpieczeństwo i mechanizm jak działa certyfikat SSL.

Podsumowanie

Biorąc pod uwagę, że w obecnych czasach wszyscy cenią bezpieczeństwo a wiele firm i organizacji robi w tym kierunku bardzo dużo, temat certyfikatów SSL jest wart zainteresowania. Wpływ certyfikatów SSL na pozycję stron w wyszukiwarce naturalnie skłania nas do skorzystania z tej możliwości także na naszej stronie mimo że jest to zwykła strona firmowa bez panelu klienta lub skomplikowanych formularzy. Mając do czynienia już ze sklepem internetowym, który zawiera system płatności a przesyłane dane powinny być niedostępne dla niepowołanych osób, instalacja certyfikatu jest konieczna.

Źródła

Oceń artykuł na temat: Certyfikaty SSL – zalety, wady i mity
Średnia : 4.7 , Maksymalnie : 5 , Głosów : 46


 
 

Wykryto brak połączenia z Internetem.