Certyfikat SSL - czy można go zdobyć za darmo?

Coraz więcej czasu spędzamy w wirtualnym świecie, przenosząc do niego coraz więcej aktywności. Bardzo łatwo w nim o przechwycenie naszych danych przez osoby trzecie. Historie o hakerach nie są z pewnością nikomu obce. Czasem wystarczy zalogować się na nieodpowiedniej stronie albo dodać kartę płatniczą do słabo zabezpieczonego konta, żeby paść ofiarą cyberprzestępstwa.

Przez to, z czasem zaczęliśmy zauważać zielone kłódki w pasku adresu przeglądarki, a w miejscu protokołu zamiast „http” pojawiło się „https”.

Co ta zmiana znaczy? Świadczy to o certyfikacie SSL, który jest gwarancją bezpiecznych połączeń pomiędzy serwerem a przeglądarką internetową oraz poufności przekazywania danych.

SSL (ang. Secure Sockets Layer) to protokół sieciowy, który zabezpiecza i szyfruje komunikację w Internecie. Wraz z wejściem w życie ustawy RODO, certyfikaty SSL stały się jednym z podstawowych zabezpieczeń stron internetowych.

Zauważ, że witryny, które wciąż jeszcze nie wdrożyły protokołu https, są oznaczone bez kłódki oraz jako „niebezpieczne”. To znacząco wpływa na User Experience osób chcących wejść na stronę, często prowadzi do jej porzucenia jeszcze przed wyświetleniem treści oraz ma realny wpływ na pozycjonowanie strony.

SSL -> TLS

Obecnie rozwinięciem protokołu SSL jest TLS (Transport Layer Security). Różnica między nimi jest taka, że TLS to nowsza wersja SSL. Certyfikat jest dużo bezpieczniejszy od swojego poprzednika. Starsza nazwa jednak w dalszym ciągu jest powszechnie stosowana ze względu na swoją rozpoznawalność. Z tego względu bardzo często mówiąc o SSL, mamy na myśli TLS.

Rodzaje certyfikatów

Możemy wyróżnić 3 rodzaje certyfikatów według klasy:

  • Certyfikat DV (Domain Validation) – wystawiany na podstawie automatycznej weryfikacji domeny. Sprawdza się najlepiej przy prowadzeniu stron prywatnych (np. bloga osobistego) czy też niewielkich biznesów.
  • Certyfikat OV (Organization Validation) – wystawiany na podstawie weryfikacji domeny oraz właściciela strony (podmiotu starającego się o certyfikat). Skierowany głównie do organizacji non-profit i instytucji edukacyjnych.
  • Certyfikat EV (Extended Validation) – wystawiany na podstawie szczegółowej weryfikacji danych firmy oraz praw do domeny. Wykorzystywany jest głównie przez instytucje finansowe, banki, duże przedsiębiorstwa i sklepy internetowe.

Oprócz podziału certyfikatów SSL według klasy, możemy wyróżnić również 3 rodzaje według typu:

  • Certyfikat typu Single Domain – zabezpiecza wyłącznie Twoją domenę główną, tzn. wszystkie strony należące do tej domeny, ale bez subdomen.

Na przykład: https://cyrekdigital.com/pl/ jest domeną główną, ale certyfikat chroni również https://cyrekdigital.com/pl/blog/.

  • Certyfikat typu Wildcard – zabezpiecza zarówno Twoją domenę główną, jak i dowolną liczbę jej subdomen.

Na przykład: https://sklep.cyrekdigital.com –  teoretyczna subdomena, którą w tym pryzpadku również ochraniałby certyfikat. 

  • Certyfikat typu Multidomain – zabezpiecza kilka domen głównych jednocześnie

Na przykład: za pomocą takiego certyfikatu moglibyśmy zabezpieczyć wiele domen należących do jednego właściciela http://cyrekdigital.com, https://cyrekevents.com i https://cyrekfinance.com.

Jak zdobyć certyfikat SSL?

Certyfikat SSL możemy zdobyć w wersji płatnej lub bezpłatnej. Jeżeli Twoja strona nie wymaga poufnych informacji od użytkownika, możesz bez obaw skorzystać z opcji zdobycia darmowego certyfikatu SSL. Twoja komunikacja jest szyfrowana na tym samym poziomie, co w przypadku płatnych certyfikatów. 

Skoro mamy możliwość zdobycia certyfikatu z takim samym poziomem szyfrowania za darmo, to czemu w niektórych przypadkach decydujemy się na jego kupno? Wszystko zależy tak naprawdę od stopnia ryzyka i wagi przekazywanych danych. Darmowe certyfikaty nie posiadają gwarancji finansowej w razie popełnienia cyberprzestępstwa. Ograniczają się wyłącznie do certyfikatów DV, czyli weryfikacji domeny, a nie właściciela strony czy też całej organizacji. Sprawdzają się idealnie przy mniej zaawansowanych rozwiązaniach i w raczkujących biznesach.

Inna istotna kwestia dotyczy czasu ważności. Darmowy certyfikat można zdobyć na czas nie dłuższy niż 3 miesiące. W przypadku płatnych certyfikatów jest to rok lub 2 lata.

Przykłady darmowych certyfikatów SSL

1. Let’s Encrypt 

Jest jednym z najpopularniejszych i najczęściej stosowanych darmowych certyfikatów SSL, akceptowanym przez wszystkie znane nam przeglądarki i wspieranym finansowo przez takie marki jak Google, Mozilla, Facebook czy Avast. Rekomendujemy stosowanie tego certyfikatu.

Czym charakteryzuje się certyfikat Let’s Encrypt?

  • Wystawiany na 90 dni,
  • odnawialny
  • brak certyfikatów OV, EV - ograniczenie do certyfikatów DV,
  • możliwość zdobycia cerytifkatu typu Wildcart i Multi Domain,
  • wsparcie techniczne za pomocą dostępnej dokumentacji i forum.

2. ZeroSSL

Wystawiany jest, podobnie jak Let’s Encrypt, na 90 dni, jednak po tym czasie, przedłużenie certyfikatu jest płatne. Co więcej, w ramy darmowego pakietu nie wchodzi opcja Multi-Domain i Wildcard.

3. SSL For Free

Oparty o Let’s Encrypt i ZeroSSL, a także kompatybilny z wieloma przeglądarkami. Podobnie jak w przypadku pozostałych opcji, oferuje 90-dniowy darmowy certyfikat DV, który może być odnawialny.

4. Cloudflare

Firma oferuje usługi Content Delivery Network, czyli dostarczania treści do centrów danych w Internecie. Na ich stronie możesz zdobyć również certyfikat SSL. Dostępne są różne pakiety, poczynając do tych bezpłatnych, przez takie za $200 za miesiąc, aż po te wyceniane indywidualnie.Wystarczy się zarejestrować, wybrać interesujący Cię pakiet, a następnie dodać stronę internetową do konta i aktywować certyfikat wybranej domeny.

Certyfikat SSL to w dzisiejszych czasach konieczność

Przy zakładaniu każdej nowej strony internetowej należy obowiązkowo zadbać o certyfikat SSL. Czasem warto przy tym wykorzystać bezpłatne rozwiązania, zwłaszcza kiedy Twoja witryna nie wymaga od użytkowników udostępniania danych istotnej wagi.

Niestety wszystko ma swoje wady i zalety, dlatego należy mieć na uwadze, że darmowe certyfikaty niosą też za sobą pewne istotne ograniczenia.