Jak uzyskać certyfikat SSL?

Jak uzyskać certyfikat SSL?

Bezpłatna konsultacja

Wiele osób zastanawia się, jak zdobyć certyfikat SSL, jednocześnie szukając informacji na temat tego, do czego on służy. SSL to skrót od Secure Socket Layer. Narzędzie to zostało opracowane przez firmę Netscape i wdrożono je do użytku w 1994 r. Służy do szyfrowania informacji, jakie są przesyłane pomiędzy komputerem użytkownika a stroną WWW czy serwerem.

Czym jest SSL?

Bez SSL wymiana danych odbywa się za pomocą zwykłego pliku tekstowego. Rodzi to istotne ryzyko nie tylko jego wykradzenia, ale również modyfikacji i podmienienia jego zawartości. Ma to szczególne negatywne konotacje w kontekście ochrony danych wrażliwych, w tym osobowych oraz loginów i haseł.

Dzięki SSL podczas przesyłu informacji stosowany jest specjalny klucz, który szyfruje dane. Następnie są one wysyłane do przeglądarki w formie pakietów. Skutecznie zapobiega to jakimkolwiek naruszeniom. Dlatego osoby, które zamierzają utworzyć stronę WWW, od razu powinny również zorientować się, jak uzyskać certyfikat.

Sprawdzenie informacji, czy strona WWW posiada SSL, jest bardzo łatwe. Wystarczy zweryfikować jej adres – jeśli znajduje się w nim https, a nie http, to oznacza, że bezpieczeństwo przesyłanych danych jest gwarantowane za pomocą certyfikatu. Dodatkowo mogą pojawić się takie oznaczenia, jak ikona kłódki (spotykana w Google Chrome) czy zielone pole adresowe.

Potrzeba uzyskania SSL

Certyfikat daje pewność tego, że korzystanie z witryny opiera się na nowoczesnym szyfrowaniu, w którym ryzyko wycieku danych osobowych i ich ewentualnego wykorzystania podczas działalności przestępczej jest zminimalizowane. Osoby, które rozważają, jak zdobyć certyfikat SSL, powinny mieć świadomość tego, że za jego pomocą można zapewnić również integralność danych podczas transferu. Z punktu widzenia użytkowników istotne znaczenie ma też to, że dzięki certyfikatowi przeglądają oni docelową stronę, a nie tę, która została podstawiona przez hackerów, co mogłoby rodzić ryzyko kradzieży informacji.

SSL daje właścicielom stron wymierne korzyści, w tym:

  • zwiększenie poziomu zaufania ze strony użytkowników – realizowanie transakcji online w pełni bezpieczny i stabilny sposób jest istotnym elementem promowania pozytywnego wizerunku marki na rynku i zwiększa lojalność kontrahentów w odniesieniu do niej,
  • skuteczne wypełnienie obowiązku w zakresie ochrony danych osobowych podczas ich przetwarzania w Internecie – brak działań w tym zakresie może skutkować nałożeniem przez Prezesa Urzędu Ochrony Danych Osobowych dotkliwej kary finansowej (nawet do 10 mln euro),
  • efektywną ochronę przed możliwością utraty danych firmowych,
  • wzrost skuteczności działań z zakresu pozycjonowania – protokół HTTPS jest jednym z czynników, który wpływa na pozycję witryny w wyszukiwarce,
  • możliwość integracji z różnymi serwisami, platformami, programami i aplikacjami – dotyczy to m.in. Facebooka czy wielu systemów e-płatności.

Kwestię związaną z tym, jak uzyskać certyfikat SSL, powinny rozważyć te firmy, które zarządzają sklepami internetowymi czy serwisami aukcyjnymi. W ich ramach odbywa się bowiem rejestracja użytkowników przy wykorzystaniu danych osobowych, a ponadto niezbędne jest realizowanie autoryzacji podczas zapłaty za zakupy online.

Certyfikat powinien zostać zastosowany również na wszelkich innych stronach WWW, które bazują na logowaniu. Dotyczy to m.in. witryn banków, serwisów urzędów administracji publicznej, aplikacji internetowych przeznaczonych do obsługi poczty elektronicznej czy blogów i portali tematycznych.

Jak zdobyć certyfikat – pierwsze kroki

W zależności od charakteru i zasięgu prowadzonej w Internecie działalności można zdecydować się na jeden z trzech rodzajów certyfikatu SSL. Pierwszy spośród nich jest określany skrótem DV ( Domain Validation). Stanowi on podstawowe zabezpieczenie dla strony WWW i pozwala na szyfrowanie transmisji danych tylko w obrębie witryny. Jak uzyskać certyfikat DV? Jest to stosunkowo łatwe, gdyż wiąże się ze zweryfikowaniem jedynie tego, czy wnioskodawca ma prawo do posługiwania się witryną. Pod uwagę nie bierze się natomiast jego danych.

Drugi typ, OV (Organization Validation), zapewnia bardziej rozbudowaną ochronę, w tym przed phishingiem (podszywaniem się pod inną osobę czy instytucję w celu wyłudzenia informacji) oraz podsłuchem. Firmy, które zastanawiają się, jak uzyskać certyfikat SSL w modelu OV, muszą uwzględnić potrzebę dostarczenia dowodu tożsamości czy dokumentów rejestrowych firmy. Dzięki OV nazwa firmy, po kliknięciu w ikonę kłódki, będzie widoczna dla użytkowników. Taki standard jest wymagany np. dla właścicieli e-sklepów.

Z kolei SLL klasy EV (Extender Validation) umożliwia pełne uwierzytelnienie. By zdobyć certyfikat, niezbędne jest pozyskanie przez dostawcę wielu informacji na temat firmy, w tym w odniesieniu do:

  • jej statusu prawnego,
  • prowadzenia przez nią rzeczywistej działalności w miejscu wskazanym w dokumentach rejestrowych,
  • zgodności podanych przez wnioskodawcę danych z informacjami dostępnymi w urzędach.

Dzięki EV użytkownikom będzie wyświetlał się zielony pasek adresu, a po kliknięciu w szczegóły pojawi się nazwa firmy.

Z uwagi na to, że SSL dotyczy domeny, a nie serwera, w przypadku bardziej rozbudowanych serwisów można skorzystać z usługi typu wildcard. Jest ona dostępna wyłącznie w modelach DV i OV i pozwala na objęcie ochroną wszystkich subdomen. Dla największych graczy rynkowych przeznaczony jest z kolei certyfikat multidomain, który pozwala na uwierzytelnienie do 100-200 różnych domen.

Każdy, kto zastanawia się, jak zdobyć certyfikat SSL, musi dokonać prawidłowego wyboru jego rodzaju. Od tego zależy zakres ochrony. W zależności od klasy SSL, niezbędne jest przygotowanie odpowiednich dokumentów, tak by proces rejestracji przebiegł sprawnie.

Przygotowanie strony WWW

Nie każda witryna internetowa może starać się o SSL. Należy ją odpowiednio skonfigurować. Działania z tego zakresu zawsze trzeba uwzględnić, jeśli interesuje nas kwestia, jak uzyskać certyfikat SSL.

Obejmuje to:

  • zapewnienie w ramach domeny aktywnych rekordów DNS, dzięki którym jej nazwa może być przetłumaczona na odpowiadający jej adres IP, co pozwala na jej rejestrację i prawidłowe działanie usług sieciowych,
  • umieszczenie na serwerze podstawowego pliku index.html, który pozwala użytkownikom na wejście do witryny i eksplorowanie znajdujących się w jej ramach treści oraz plików (najczęściej jest on stroną startową serwisu).

Ważna jest także autoryzacja domeny. W zależności od wydawcy, można to wykonać albo za pomocą linku aktywacyjnego wysłanego przez niego na pocztę e-mail, albo poprzez umieszczenie na serwerze pliku HTML lub utworzenie odpowiedniego rekordu TXT w zasobach DNS. Niektórzy dostawcy weryfikują informacje przesłane przez wnioskodawcę w bazie WHOIS, w której można sprawdzić, kto jest właścicielem domeny.

W przypadku bardziej rozbudowanych rozwiązań, czyli certyfikatów OV oraz EV, istnieje potrzeba przesłania wystawcy certyfikatu kopii dokumentów dotyczących wnioskodawcy, w tym np. wyciągu z Krajowego Rejestru Sądowego czy umowy spółki (w przypadku przedsiębiorstw) bądź dowodu tożsamości lub prawa jazdy (w odniesieniu do osób, które nie prowadzą firmy).

Wybór dostawcy

Rozpatrując możliwości w zakresie tego, jak zdobyć certyfikat SSL, mamy do wyboru wiele rozwiązań. SSL są wydawane przez urzędy certyfikacji (Certificate Authority – CA). Na rynku działa szereg podmiotów, w tym m.in.:

  • SSL.com,
  • Namecheap,
  • DigiCert,
  • GeoTrust,
  • Thawte,
  • Symantec,
  • SwissSign,
  • GlobalSign.

W Polsce liderem rynku jest Certum, czyli podmiot należący do Assecco, który umożliwia również zakup podpisu elektronicznego czy kart kryptograficznych. Oferta poszczególnych CA jest zróżnicowana głównie pod kątem cenowym oraz w kontekście zakresu oferty i dostępnych pakietów usług.

Jest jeszcze inny sposób na to, jak uzyskać certyfikat. Chodzi o dostawców hostingu, takich jak kei.pl czy home.pl, którzy swoim użytkownikom zapewniają dostęp do własnych SSL. Jest to wygodne rozwiązanie z tego względu, że po zakupie certyfikatu nie trzeba go samodzielnie konfigurować, a w niektórych firmach, tak jak w nazwa.pl, do każdej utrzymywanej domeny SSL jest dodawany gratisowo.

Wydanie i instalacja certyfikatu

Odpowiadając na pytanie, jak uzyskać certyfikat SSL, po dokonaniu wyboru najbardziej odpowiedniego rozwiązania oraz dostawcy, trzeba uwzględnić również konieczność przesłania pliku CSR (Certificate Signing Request). Dosłownie oznacza on „żądanie podpisania certyfikatu”. Taki plik może być samodzielnie wygenerowany przez klienta lub może tego dokonać administrator serwera.

Zawiera on różnorodne informacje. Dotyczą one:

  • nazwy domeny,
  • danych wnioskodawcy,
  • wymaganych parametrów technicznych certyfikatu, w tym typu i długości klucza oraz rodzaju algorytmu kodowania mieszającego (np. MD5 lub SHA-1, przy czym ten drugi gwarantuje wyższy poziom zabezpieczeń).

Razem z plikiem CSR tworzony jest klucz prywatny, który służy do instalacji certyfikatu na serwerze. Zachowanie takiego klucza jest bardzo ważne, gdyż jego ewentualna utrata spowoduje niemożność korzystania z certyfikatu. Nie jest możliwe ponowne wygenerowanie identycznego klucza. Zamiast tego, całą operację trzeba zrealizować od nowa.

Plik jest wysyłany do jednostki certyfikującej. Dokonuje ona walidacji wnioskodawcy, czyli sprawdzenia, czy podane informacje są zgodne z rzeczywistością. Czynności z tego zakresu nie są realizowane w przypadku certyfikatów typu DV, gdyż nie jest wymagana weryfikacja tożsamości. Dlatego osoby, które zastanawiają się, jak zdobyć certyfikat SSL, by proces ten był zrealizowany szybko, mogą zdecydować się właśnie na tę klasę – certyfikat jest zwykle wystawiany maksymalnie w jedną godzinę. Znacznie dłużej, nawet do 10 dni, trwa to w przypadku kolejnych modeli, czyli OV i EV.

Po uzyskaniu certyfikatu należy wgrać go na serwer. Instalacji SSL może dokonać administrator hostingu – należy wysłać prośbę do niego w tym zakresie. W niektórych firmach konfiguracja odbywa się automatycznie, tak więc wystarczy zamówić i opłacić usługę.

Można to zrealizować również samodzielnie. Niezbędne jest jednak posiadanie przynajmniej minimum wiedzy i umiejętności odnośnie do tego, jak działa DirectAdmin, czyli panel przeznaczony do zarządzania usługami hostingowymi. W jego ramach konieczne jest wklejenie klucza prywatnego oraz publicznego (jest on udostępniany użytkownikom po połączeniu się z witryną).

Jak zdobyć certyfikat SSL w darmowy sposób?

Przedsiębiorstwa, w tym szczególnie mikro, prowadząc działalność w Internecie, szczególną uwagę zwracają na ponoszone w związku z tym koszty. Także w przypadku SSL zastanawiają się one, jak uzyskać certyfikat, by nie wiązało się to ze sporymi wydatkami.

Średni koszt zakupu i instalacji SSL wprawdzie nie jest duży – dla jednej domeny wynosi około 100-150 zł brutto rocznie w przypadku najprostszych rozwiązań. Jeśli jednak interesuje nas pełne uwierzytelnienie, stawki rosną nawet do poziomu 1000 zł za rok. W przypadku wielu przedsiębiorstw, w tym startupów, które na początku działalności mierzą się z wieloma wydatkami inwestycyjnymi, nawet najniższa stawka może być zbyt wysoka, nie mówiąc już o cenach za rozwiązania, które zapewniają szerszą ochronę.

Dlatego na rynku dostępne są darmowe rozwiązania. Warto sprawdzić, jak zdobyć certyfikat SSL w ten sposób. Przykładem jest Let’s Encrypt. Jest on kompatybilny z najważniejszymi przeglądarkami i zapewnia dostęp do certyfikatu klasy DV. Głównym jego ograniczeniem jest to, że jest ważny tylko przez 90 dni – po tym czasie należy go odnowić.

Inne rozwiązania to StartSSL, który wymaga jednak otwierania nowego konta w przypadku każdorazowego odnawiania certyfikatu, oraz CAcert, w którym dostęp do certyfikatu jest możliwy po potwierdzeniu tożsamości wnioskodawcy przez odpowiednią liczbę użytkowników. Są dostępne również opcje, w których pierwszy rok korzystania z SSL wiąże się z niższymi opłatami, nawet rzędu 10 zł, a po upływie tego okresu można zdecydować się na standardowy abonament lub rezygnację z usługi. Przykładem jest certyfikat Veri SSL, który można otrzymać poprzez serwis LH.pl.

Darmowe usługi, ze względu na wskazane niegodności, są zalecane do wykorzystywania jedynie na prostych blogach i stronach WWW. W przypadku e-sklepów będą ono zupełnie niefunkcjonalne.

Podsumowanie

Obecnie posiadanie certyfikatu SSL jest wręcz koniecznością. Wynika to nie tylko z wymagań związanych z bezpieczeństwem, ale również kwestii wizerunkowych i skutecznego pozycjonowania. Pomimo obaw wielu osób w zakresie tego, jak uzyskać certyfikat, trzeba zaznaczyć, że jest to stosunkowo łatwe i nie wiąże się ze zbyt wysokimi kosztami. Wystarczy wniesienie opłaty abonamentowej w wysokości około 100 zł rocznie, a także przekazanie dostawcy niezbędnych informacji i wgranie certyfikatu na serwer.

Pomoc w tym zakresie można otrzymać np. od wyspecjalizowanej agencji marketingowej. Ma to znaczenie m.in. w kwestii wyboru optymalnej, dopasowanej do rozmiarów prowadzonej działalności klasy SSL (DV, OV lub EV) czy skorzystania z oferty tego dostawcy, który gwarantuje atrakcyjną cenę i wystarczająco szeroki zakres usług.

ZOBACZ RÓWNIEŻ
WYBRANE WPISY BLOGOWE

    Zastanawiasz się
    dlaczego Twoja strona
    NIE SPRZEDAJE?
    Umów się na bezpłatną konsultację SEO i dowiedz się, jak możemy poprawić Twoje wyniki sprzedażowe.
    Firma SXO
    Firma SXO
    OCEŃ TXT

    Twój adres e-mail nie zostanie opublikowany.

    Darmowa konsultacja

      Zastanawiasz się
      dlaczego Twoja strona
      NIE SPRZEDAJE?
      Umów się na bezpłatną konsultację SEO i dowiedz się, jak możemy poprawić Twoje wyniki sprzedażowe.