Umów bezpłatną konsultację
lub zadzwoń 783 256 156

SSL (Secure Sockets Layer)

  • 2025-10-15

W tym artukule

Co to jest SSL?

SSL (Secure Sockets Layer) to protokół kryptograficzny, który odpowiada za szyfrowanie połączenia między przeglądarką użytkownika a serwerem internetowym. Dzięki SSL dane przesyłane (np. loginy, hasła, dane kart płatniczych) są zabezpieczone przed podsłuchem i modyfikacją. Obecnie standardem jest nowsza wersja TLS, jednak w praktyce nazwa „SSL” jest nadal powszechnie używana.

Dlaczego SSL jest ważny?

  • Bezpieczeństwo – szyfruje transmisję i chroni przed atakami typu „man-in-the-middle”.
  • Zaufanie użytkowników – kłódka w pasku adresu i adres https:// budują wiarygodność.
  • SEO – Google traktuje SSL jako czynnik rankingowy; brak certyfikatu skutkuje komunikatem „niebezpieczna strona”.
  • Wymogi prawne i branżowe – np. PCI DSS dla sklepów internetowych wymaga SSL przy przetwarzaniu płatności.
  • Spójność danych – szyfrowanie zapobiega nieautoryzowanej ingerencji w przesyłane informacje.

Jak działa SSL?

  1. Użytkownik wchodzi na stronę zabezpieczoną https://.
  2. Przeglądarka żąda certyfikatu SSL od serwera.
  3. Certyfikat zawiera klucz publiczny, domenę oraz podpis urzędu certyfikacji (CA).
  4. Przeglądarka weryfikuje certyfikat u zaufanego wystawcy.
  5. Jeśli wszystko jest poprawne – ustanawiane jest szyfrowane połączenie.

Rodzaje certyfikatów SSL

  • DV (Domain Validation) – podstawowy, potwierdza tylko własność domeny.
  • OV (Organization Validation) – potwierdza także dane organizacji.
  • EV (Extended Validation) – najbardziej zaufany, pokazuje pełną nazwę firmy w certyfikacie.
  • Wildcard SSL – obejmuje domenę i wszystkie subdomeny.
  • Multi-domain SSL (SAN) – zabezpiecza wiele domen jednocześnie.

Najczęstsze błędy związane z SSL

  1. Mixed content – strona ładuje część zasobów przez HTTP zamiast HTTPS.
  2. Nieprawidłowa instalacja – np. brak certyfikatu pośredniego (intermediate).
  3. Wygasły certyfikat – brak automatycznego odnowienia skutkuje błędem bezpieczeństwa.
  4. Zły zakres certyfikatu – certyfikat wydany dla www.domena.pl, ale strona działa na domena.pl.
  5. Brak przekierowań – użytkownicy mogą nadal trafiać na wersję nieszyfrowaną.

Dobre praktyki (checklista)

  • Wdrażaj TLS 1.2 lub 1.3 – starsze wersje (SSLv3, TLS 1.0) są podatne na ataki.
  • Wymuś przekierowanie 301 z HTTP na HTTPS.
  • Użyj HSTS (HTTP Strict Transport Security), aby przeglądarki zawsze korzystały z HTTPS.
  • Regularnie sprawdzaj ważność certyfikatu (np. sslshopper.com lub whynopadlock.com).
  • Jeśli korzystasz z darmowego Let’s Encrypt, ustaw automatyczne odnawianie co 90 dni.
  • Monitoruj logi serwera pod kątem błędów SSL/TLS.

Powiązane pojęcia

FAQ

Czy darmowy certyfikat Let’s Encrypt wystarczy dla sklepu internetowego?

Tak, pod względem szyfrowania jest tak samo bezpieczny jak płatne certyfikaty. Różnica dotyczy poziomu walidacji – Let’s Encrypt wydaje tylko DV. W niektórych branżach (bankowość, instytucje publiczne) wymagane mogą być OV lub EV.

Czy SSL spowalnia stronę?

Nie, w praktyce nowoczesne serwery i protokoły (np. TLS 1.3) sprawiają, że szyfrowanie jest praktycznie niewidoczne dla użytkownika. Czasem wręcz przyspiesza ładowanie dzięki funkcjom jak ALPN czy HTTP/2.

Czy muszę mieć SSL, jeśli moja strona nie zbiera danych?

Tak – Google oznacza wszystkie strony bez SSL jako „niebezpieczne”, co obniża wiarygodność i ranking. SSL to obecnie standard dla każdej witryny, nie tylko sklepów i portali logowania.

Podziel się na