fbpx

Szyfrowanie połączenia ze stroną z pomocą certyfikatu SSL (https) – wybór i instalacja

Poradnik

W poradniku:

  • dlaczego certyfikat SSL jest tak ważny
  • płatne opcje dodania certyfikatu SSL
  • darmowe opcje dodania certyfikatu SSL
  • instrukcje dodania
Szyfrowanie połączenia ze stroną z pomocą certyfikatu SSL (https) – wybór i instalacja

Poradnik odpowiada na najczęstsze pytania odnośnie SSL, pokazuje także jak samodzielnie można dodać SSL do swojej strony i wykonać przekierowania na wersję https na przykładzie WordPressa.

SSL – warto wiedzieć

Instalacja certyfikatu przebiega bardzo sprawnie, ale jest kilka rzeczy o których warto wiedzieć decydując się na zakup.

CO TO JEST SSL

SSL, skrót od Secure Socket Layer, to transmisja zaszyfrowanych danych. To sprawdzone rozwiązanie, przedstawione przez Netscape już w 1994 roku.

Gdy przeglądamy strony internetowe, dane pobierane są z serwera i przekazywane do przeglądarki, gdzie są prezentowane użytkownikowi. Gdy wypełniamy formularz czy załączamy plik, dane są wysyłane z przeglądarki do serwera. Jeśli te dane są niezabezpieczone, można je przechwycić w dość banalny sposób.

Jeśli połączenie jest szyfrowane, przechwycenie danych przy przekazywaniu jest dużo trudniejsze.

Jak widać, obecność literki ‚s’ robi różnicę nie tylko przy nazwisku…

CO DAJE CERTYFIKAT SSL

Certyfikat SSL ma kilka zalet:

  • bezpieczeństwo – co jest oczywiste. Utrudnia odczytanie przesyłanych danych.
  • wejścia na stronę – https to jeden z czynników rankingowych (choć o minimalnym znaczeniu, o tym dalej). Dodatkowo przeglądarka Chrome pokazuje ostrzeżenia Not safe przy stronach bez SSL
  • wpływ na konwersję – użytkownicy są coraz bardziej świadomi w kwestii bezpieczeństwa danych. Jeśli zauważą brak zabezpieczenia SSL to jest duża szansa, że nie zdecydują się na zakup czy podanie swoich danych.

GDZIE KUPIĆ CERTYFIKAT SSL? ILE KOSZTUJE SSL? CZY WYBRAĆ NAJTAŃSZY CERTYFIKAT?

Aby dodać certyfikat SSL i włączyć HTTPS trzeba zdobyć certyfikat od CA (Certificate Authority). Na rynku jest grupa dostawców certyfikatów, które to różnią się cenami i właściwościami. Trzeba zaznaczyć, że dla Kowalskiego te różnice nie będą tak istotne.

Certyfikat SSL można najczęściej kupić za pośrednictwem naszego dostawcy hostingu, ale można to też zrobić w zewnętrznym sklepie.

Ceny certyfikatów SSL są bardzo różne. Najtańsze kosztują około stu złotych i dla wielu mniejszych stron taki wybór będzie wystarczający. Są również darmowe certyfikaty, o czym piszemy dalej.

DARMOWY CERTYFIKAT SSL

Jest możliwość dodania https do naszej domeny za darmo. Popularnym wyborem jest instalacja SSL z pomocą Cloudflare.com. Tu jednak uwaga. Nie jest to pełny a częściowy SSL. Strona będzie działała na https, ale nie będzie to tak bezpieczne połącznie jak na pełnym certyfikacie SSL.

Jak zainstalować darmowy SSL z Cloudflare – poradnik tutaj: http://make-cash.pl/darmowy-certyfikat-ssl-z-cloudflare-na-przyk%C5%82adzie-wordpressa-t25179/.

Jeśli szukamy pełnego certyfikatu SSL, który jest darmowy to warto zainteresować się projektem Let’s Encrypt. Stoi za nim organizacja, która postawiła sobie za cel poprawę bezpieczeństwa w Internecie. Wspierana jest m.in. przez Mozillę czy Cisco. To popularne rozwiązanie. Na wielu hostach direct admin ma wgrany plugin do łatwej instalacji tego certyfikatu.

Jak zainstalować darmowy SSL z Let’s Encrypt na przykładzie panelu Kylos: https://panel.kylos.pl/knowledgebase/199/instalacja-certyfikatu-let-039-s-encrypt-na-serwerze-z-direct-adminem.html .

NIE ZAPOMINAJMY O DODATKOWYM IP

Aby podpiąć SSL pod naszą domenę, potrzebne jest dodatkowe IP. To koszt około 150zł rocznie.

Gdy chcemy podpiąć więcej domen pod jeden certyfikat SSL nie ma potrzeby kupowania kilku IP i kilku certyfikatów. Wystarczy wtedy zakup certyfikatu Multidomain SSL, który w zależności od wersji może obsługiwać 3, 5 lub więcej różnych domen.

CERTYFIKAT SSL A POZYCJONOWANIE

Obecnosć szyfrowanego połączenia jest czynnikiem rankingowym. Potwierdziło to Google. Jednak wg obserwacji wielu specjalistów wpływ SSL na pozycje jest znikomy, żeby nie powiedzieć żaden.

Owszem, obecnie dość często spotkamy się z sytuacją, że w top 10 zobaczymy większość stron z https. Jednak powodem nie jest sam algorytm preferujący szyfrowane wersje a inne czynniki (moc domeny, treści itd.) Https jest na nich „przy okazji”, właściciele zdecydowali się go dodać ze względu na bezpieczeństwo przesyłania danych.

Mimo braku wpływu na pozycje, warto mieć SSL z innych względów, omówionych na początku.

HTTPS NA KOSZYKU CZY NA CAŁEJ DOMENIE?

Częstym błędem, który widzimy w sklepach, jest obecność SSL tylko na koszyku. Teoretycznie ma to sens. Tam gdzie przesyłane są wrażliwe dane jest obecny https i są one szyfrowane.

W praktyce wygląda to tak, że mimo wszystko Chrome będzie informował o niebezpiecznym połączeniu, bo wystarczy, że wykryje sam formularz logowania do panelu klienta, który obecny jest na każdej podstronie.

Lepiej po prostu zainstalować SSL prawidłowo na całej domenie, dla wszystkich podstron.

CZY SSL SPOWALNIA STRONĘ?

Może minimalnie spowalniać czas ładowania strony. Różnice są jednak naprawdę nieznaczne, czy wręcz niezauważalne i nie powinno to mieć wpływu na decyzję o instalacji SSL.

Część druga – jak zainstalować certyfikat SSL?

Instalacja SSL jest prosta. Można przeprowadzić ją samodzielnie. Jeśli jednak mamy dużą stronę czy sklep internetowy to warto poprosić specjalistę o pomoc, bo dochodzi tu kilka ważnych, technicznych kwestii.

W tej części pokażemy instalację na przykładzie strony na WordPress, znajdującej się na hostingu linuxpl.com.

INSTALACJA CERTYFIKATU SSL

Najpierw musimy udać się na zakupy. Przechodzimy do panelu klienta w LinuxPL. Przewijamy na sam dół i wybieramy Dodatki:

INSTALACJA CERTYFIKATU SSL

W następnym kroku mamy do wyboru kupno domeny lub innych dodatków. Klikamy przycisk Zamów inny dodatek co przeniesie nas na podstronę z opcjami wyboru dodatków:

Instalacja ssl

DODATKOWE IP

Z rozwijanej listy najpierw wybieramy dodatkowe IP, które jest niezbędne do zakupu SSL i dodajemy do koszyka:

Dodatkowe ip ssl

WYBÓR CERTYFIKATU

Następnie czas na zakup certyfikatu SSL. Na liście jest kilka różnych opcji. My najczęściej wybieramy certyfikat RapidSSL, tu kosztuje on 92,25zł za rok:

certyfikat RapidSSL

Alternatywą może być jeszcze tańsza opcja – Certyfikat Domain Validation SSL. Kosztuje 71,34zł:

Certyfikat Domain Validation SSL

Przechodzimy do koszyka i finalizujemy zakup.

PODPIĘCIE CERTYFIKATU POD DOMENĘ

Po zaksięgowaniu płatności odezwie się do nas pomoc z LinuxPL z pytaniem pod którą domenę ma być dodany certyfikat SSL. Podajemy domenę i po chwili powinniśmy otrzymać informację zwrotną, że certyfikat został zainstalowany.

To tyle. Jak widać, samo włączenie SSL na domenie jest proste. Bardziej potrzebny jest tu nasz portfel niż umiejętności ;).

Działania po instalacji certyfikatu SSL

Sam fakt instalacji certyfikatu nie powoduje, że strona będzie automatycznie ładowała się na https, szczególnie jeśli strona działała przed zakupem SSL. W tym celu, w przypadku WordPress, musimy:

  • ustawić adres WP na https
  • wykonać przekierowania z http na https

USTAWIENIE DOMYŚLNEJ WERSJI

Jeśli WordPress był zainstalowany przed dodaniem SSL, musimy przejść do menu Ustawienia -> Ogólne. Tutaj w polach Adres WordPressa oraz Adres witryny zmieniamy http na https:

wordpress zmiana ssl na https

Zapisujemy. Będziemy musieli się na nowo zalogować, już na wersję z https.

PRZEKIEROWANIE

Jeśli nie wykonamy przekierowania, strona może się zaindeksować na wersji nieszyfrowanej http oraz szyfrowanej https. To stworzy kopie. Tego nie chcemy. Przy większych serwisach czy sklepach lepiej żeby przekierowaniami zajął się informatyk. W przypadku WordPressa powinno się udać z pomocą wtyczki.

UWAGA. Wtyczkę instalujemy tylko jeśli mamy dostęp do FTP. Może być potrzebny na wypadek, gdyby poszło coś nie tak.

Instalujemy Easy HTTPS Redirection:

instalacja Easy HTTPS Redirection

Przechodzimy do Ustawienia -> Https Redirection i zaznaczamy pola jak niżej:

przekierowanie http https

Dzięki ostatniej opcji wymusimy również https na ścieżkach dostępów do plików. Bez tego kłódka byłaby żółta, bo nie wszystkie zasoby (najczęściej obrazki) byłyby ładowane za pomocą szyfrowanego protokołu.

Jeśli coś poszło nie tak, strona się nie ładuje itp. to należy wejść na FTP i wyedytować plik htaccess. Kod dodany przez wtyczkę znajdziemy między komentarzami:

przekierowanie http https krok3

SEARCH CONSOLE

Nawet jeśli wcześniej mieliśmy w Search Console dodaną stronę dla wersji http to i tak należy dodać nową stronę z https. Następnie należy na nowo dodać sitemapę dla wersji https.

Dla porządku można też przejść w Search Console do opcji zmiana adresu (na starej wersji http, opcja dostępna po kliknięciu w zębatkę w rogu) i poinformować Google o nowej wersji na https:

Google search console zmiana adresu

Jeśli mamy prawidłowo wykonane przekierowania to zajmie to dosłownie minutę.

SPRAWDZENIE WWW I NON-WWW

Więcej niż kilka razy spotkaliśmy się z sytuacją, że ktoś podpiął źle certyfikat i np. adres bez www ładował się poprawnie, ale z www pojawiały się różne rzeczy, z inną stroną włącznie.

Dobrze to też przetestować, przy okazji sprawdzając czy przekierowanie pomiędzy wersjami www i bez www jest dobrze zrobione.

Podsumowanie

Temat certyfikatów SSL ciężko wyczerpać w jednym, krótkim poradniku. Na pewno warto mieć SSL na swojej stronie, nawet jeśli to mały serwis. To przede wszystkim korzyści dla bezpieczeństwa danych, a przy okazji mniejsze czy większe zalety w kwestii SEO czy konwersji. Jeśli ktoś nie czuje się na siłach, by dodać SSL samodzielnie, powinien poprosić o pomoc obsługę hostingu.

sprawdź też

Porozmawiajmy

Powiedz nam czego potrzebujesz

Kontakt