W ostatnim czasie coraz więcej mówi się o bezpieczeństwie stron internetowych. Jednym ze sposobów na dbanie o ten aspekt są certyfikaty SSL. Co warto o nich wiedzieć? Czy wspierają one także pozycjonowanie witryny? Tego dowiesz się z tego artykułu.
Czym jest certyfikat SSL?
SSL to inaczej Secure Socket Layer. Nazwa ta odnosi się do protokołu bezpieczeństwa, który w Internecie zapewnia ochronę danych i prywatność. Certyfikat SSL zapewnia bezpieczeństwo danych na dwa sposoby.
Uwierzytelnianie
Wdrożenie certyfikatu SSL pozwala przeprowadzić uwierzytelnienie strony, które (w zależności od typu certyfikatu) daje możliwość potwierdzenia tożsamości tylko serwera lub całego podmiotu aplikującego (np. firmy będącej właścicielem danego sklepu internetowego). Dzięki takiemu procesowi użytkownicy mogą mieć pewność, że odwiedzana przez nich strona jest zabezpieczona certyfikatem wystawionym przez zaufanego dostawcę. W rezultacie jej adres nie zaczyna się już od HTTP (Hypertext Transfer Protocol), a od protokołu HTTPS (Hypertext Transfer Protocol Secure). Zmiana http na https informuje o bezpiecznym połączeniu.
Szyfrowanie
Celem szyfrowania jest zabezpieczenie komunikacji zachodzącej między odwiedzającym a serwerem. Dzięki temu dane użytkowników, jak hasła i loginy, są zakodowane – w efekcie ich przechwycenie jest znacznie trudniejsze. Jak posiadanie certyfikatu SSL na stronie internetowej wpływa na wymianę danych? Proces ten wygląda w przybliżeniu następująco:
- Przeglądarka lub serwer próbuje połączyć się z witryną (czyli serwerem www) zabezpieczoną protokołem SSL.
- Przeglądarka lub serwer wysyła żądanie z prośbą o to, aby serwer www się zidentyfikował.
- W odpowiedzi serwer www wysyła do przeglądarki lub serwera kopię swojego certyfikatu SSL.
- Przeglądarka lub serwer sprawdza, czy dany certyfikat SSL jest wiarygodny. Jeśli tak, sygnalizuje to serwerowi www.
- Następnie serwer www zwraca podpisane cyfrowo potwierdzenie rozpoczęcia sesji szyfrowanej za pomocą SSL.
- Zaszyfrowane dane są współdzielone między przeglądarką i serwerem www lub serwerem i serwerem www.
Proces ten zachodzi w ciągu milisekund i jest czasami określany jako SSL handshake.
SSL vs TLS – jaka jest różnica?
Warto jeszcze wyjaśnić różnicę między SSL a TLS. Protokół SSL został opracowany w 1994 roku przez firmę Netscape. Z kolei w 1999 roku stowarzyszenie Internet Engineering Task Force (IETF) zaproponowało uaktualnienie protokołu SSL. Ponieważ z opracowaniem nowej wersji Netscape nie miało już nic wspólnego, IETF postanowiło wprowadzić nową nazwę protokołu – TLS (Transport Layer Security). Różnice pomiędzy ostateczną wersją SSL (3.0) a pierwszą wersją TLS nie były drastyczne – zmiana nazwy miała tak naprawdę najwięcej wspólnego z zaznaczeniem prawa własności.
Rozwój SSL został zatrzymany i jego miejsce przejął TLS, którego obecna wersja to 1.3. Choć w teorii protokoły te znacznie się od siebie różnią, to jednak w praktyce spełniają dokładnie takie same funkcje. Czemu więc praktycznie wszyscy posługują się określeniem SSL? Większość dostawców certyfikatów po prostu postanowiło używać właśnie tej nazwy (być może jest ona wygodniejsza językowo) i tak w zasadzie się przyjęło. W praktyce tak naprawdę wszystkie certyfikaty dostępne w ofercie to certyfikaty SSL/TLS. Z drugiej strony dostawcy zwykle nie pozwalają korzystać albo z jednego, albo z drugiego – pierwszeństwo zawsze ma najnowsza wersja, czyli w tym przypadku TLS 1.3. Jak więc widać, kwestia nazewnictwa jest trochę pomieszana. Pamiętaj po prostu, że gdy mowa jest o certyfikacie SSL, to tak naprawdę z technicznego punktu widzenia chodzi o TLS. Dla jasności jednak w dalszej części tego artykułu będziemy posługiwać się wyłącznie określeniem SSL.
Jakie dane chroni protokół SSL?
Certyfikat SSL powinien być szczególnie ważny dla właściciel stron internetowych, gdyż jest on w stanie chronić najważniejsze dane użytkowników:
- loginy i hasła,
- numery kart kredytowych i informacje na temat banku,
- dane osobiste, jak adres, numer telefonu, data urodzenia itp.,
- zapiski medyczne,
- dokumenty prawne.
Certyfikat SSL a SEO
Google od długiego czasu ma na uwadze bezpieczeństwo stron internetowych. W ostatnich latach firma podjęła konkretne działania, w wyniku których posiadanie certyfikatu SSL jest już w sumie koniecznością, a dodatkowo wpływa na SEO.
-
SSL jest czynnikiem rankingowym Google
Pod koniec 2015 roku Google ogłosiło, że chce indeksować więcej stron HTTPS, czyli tych wyposażonych w certyfikat SSL. W ogłoszeniu możemy nawet dowiedzieć się, że jeśli dwa adresy URL na tej samej domenie zawierają podobny content, to pierwszeństwo zostanie dane podstronie zabezpieczonej przez protokół HTTPS. Z kolei od września 2016 roku w Google Chrome nieodpowiednio zabezpieczone strony, które wymagały podawania haseł i informacji o kartach kredytowych, zaczęły być oznaczane w pasku URL jako niebezpieczne (Not Secure). W 2018 roku owo oznaczenie zaczęło być dodawane w przypadku wszystkich witryn, które korzystają z HTTP zamiast HTTPS. W tym samym roku Google potwierdziło też, że "faworyzuje" strony z certyfikatem SSL, zaznaczając przy tym: Wdrożenie HTTPS jest łatwiejsze i tańsze niż kiedykolwiek wcześniej, a także odblokowuje zarówno poprawę wydajności, jak i nowe, potężne funkcje, które byłyby zbyt wrażliwe dla HTTP.
-
HTTPS koreluje z wyższymi pozycjami
Jedna z analiz przeprowadzonych przez serwis Backlinko dowodzi, że stosowanie HTTPS jest w widocznym stopniu skorelowane z wyższymi pozycjami w Google:
źródło: backlinko.com
Korzyści ze stosowania certyfikatu SSL
Oto kilka powodów, dla których warto uzyskać certyfikat SSL:
-
Większe zaufanie użytkowników do witryny
Analiza przeprowadzona przez agencję John Cabot wskazuje, że 47% użytkowników rozpoznaje ostrzeżenie typu „Strona nie jest bezpieczna”, które pokazuje się w przypadku witryny niewyposażonych w certyfikat SSL. Co jeszcze ważniejsze, 64% ankietowanych przyznało, że od razu opuściłoby taką witrynę. Oznaczanie stron jako niebezpiecznych faktycznie spełnia swój cel. Wielu ankietowanych podejrzewało, że takie witryny padły ofiarą ataku hakerskiego lub powstały w celu oszukiwania odwiedzających. Oprócz tego:
- 8,4% obawiało się, iż wizyta na takiej stronie sprawi, że na ich adres mailowy zaczną trafiać niepożądane wiadomości,
- 9% zaczęło być sceptycznie nastawionych do wiarygodności zawartego na stronie contentu,
- 12% ankietowanych doszło do wniosku, że trafiło na podrobioną wersję strony, którą chcieli odwiedzić.
Co ciekawe, według przytoczonej analizy strony internetowe hoteli oraz firm związanych z branżą nieruchomości najbardziej tracą zaufanie użytkowników w przypadku braku bezpiecznego połączenia. Odwiedzającym często towarzyszyło przekonanie, że na takiej witrynie mogą zostać nieuczciwie wykorzystani. Jak więc widać, brak certyfikatu SSL odstrasza użytkowników, co na pewno negatywnie przekłada się na współczynnik konwersji, czas spędzony na stronie, szansę na ponowną wizytę i wiele innych ważnych czynników.
-
Kwestie RODO
RODO oczywiście nie wspomina bezpośrednio o konieczności korzystania z certyfikatu SSL. Z drugiej strony omawiane rozporządzenie wymaga, aby każda witryna podała dokładne informacje na temat tego, z jakich zabezpieczeń korzysta w celu ochrony danych osobowych. Certyfikat SSL jest w stanie szyfrować wrażliwe dane użytkowników, dlatego jak najbardziej warto go nabyć i wspomnieć o nim w dokumencie RODO.
-
Większy ruch i zyski
Jak wcześniej wspomniano, bezpieczne połączenie pozytywnie wpływa na rankingi. Lepsze pozycje w Google'u na pewno przełożą się na wzmożony ruch. To z kolei, niezależnie od tego, jaki biznes prowadzisz, w zasadzie w każdym przypadku pomoże zdobyć więcej klientów.
Przeczytaj także:
Zasady pozycjonowania w Google – 10 najważniejszych technik SEO -
Ochrona przed phishingiem
Phishing polega na podszywaniu się pod docelową stronę (np. sklep internetowy) i wykradaniu informacji użytkowników, którzy nie są świadomi tego, że trafili na oszukańczą wersję witryny. Celem takich działań są zwykle najbardziej wrażliwe dane jak loginy i numery kart kredytowych. SSL jest w stanie do pewnego stopnia ochronić przed tego typu atakami, jednak pamiętaj, że musi to być certyfikat EV (Extended Validation). Strony phishingowe w większości przypadków korzystają z połączenia HTTPS, aby skuteczniej zmylić ofiary.
Oto jak wygląda różnica między standardowym SSL a EV:
Zwykły certyfikat
Certyfikat EV
W przypadku drugiego wariantu widnieje także informacja o podmiocie rejestrującym – jeśli została ona zarezerwowana przez faktycznego właściciela, nie da się jej już podrobić.
SSL to nowy standard bezpieczeństwa stron
Jeśli chcesz, aby Twoja strona była bezpieczna i zajmowała dobre pozycje w Google'u, połączenie HTTPS to podstawa. Obecnie nie jest to trudne, gdyż niektórzy dostawcy są w stanie zapewnić nawet darmowy certyfikat SSL. Oczywiście nie będzie on wystarczający w przypadku każdej witryny. Rozważ zatem różne oferty i wybierz takie rozwiązanie, które będzie najlepsze dla Twojej witryny.