Co to jest Secure Sockets Layer (SSL)?
SSL to skrót od Secure Sockets Layer. Protokół SSL był protokołem bezpieczeństwa internetowego zaprojektowanym w celu ustanowienia szyfrowanego połączenia między serwerami internetowymi a klientami. Obecnie SSL został zastąpiony przez TLS (Transport Layer Security), ale wiele osób nadal odnosi się do tej technologii za pomocą akronimu SSL.
Certyfikat SSL zawiera klucz prywatny i publiczny, umożliwiając zabezpieczenie transakcji online i ochronę informacji o klientach.
Czasami nazywany "SSL handshake", kontrola bezpieczeństwa rozpoczyna się, gdy użytkownik próbuje połączyć się z witryną zabezpieczoną protokołem SSL. Przeglądarka żąda, aby serwer witryny zidentyfikował się i otrzymał kopię certyfikatu SSL. Po sprawdzeniu, czy certyfikat SSL jest godny zaufania, nawiązywane jest bezpieczne połączenie, umożliwiające przesyłanie zaszyfrowanych danych między przeglądarką a serwerem.
W nowoczesnych przeglądarkach internetowych wiadomo, że witryna jest bezpieczna, jeśli adres URL w pasku adresu zawiera HTTPS. Wizualnie jest to komunikowane za pomocą małej ikony kłódki. Możesz kliknąć ten symbol na dowolnej stronie HTTPS, aby samodzielnie odczytać certyfikat.
Popularne terminy związane z SSL
Jeśli jesteś nowy w świecie bezpieczeństwa internetowego, możesz być również zdezorientowany innymi popularnymi terminami.
Krótko mówiąc, oto czym różni się SSL od popularnych terminów związanych z bezpieczeństwem sieciowym, takich jak TLS i HTTPS:
- TLS: Transport Layer Security jest następcą SSL. Jest to bardziej zaawansowany protokół służący do zachowania prywatności, bezpieczeństwa i autentyczności online za pomocą certyfikatów.
- HTTP: HyperText Transfer Protocol to oryginalna warstwa aplikacji leżąca u podstaw Internetu w modelu klient-serwer. Strony HTTP i adresy URL nie posiadają bezpiecznego certyfikatu.
- HTTPS: HyperText Transfer Protocol Secure to bezpieczny wariant protokołu HTTP, który jest używany przez ponad 79% stron internetowych, według W3Techs.com. Strony te zazwyczaj korzystają z certyfikatów TLS.
Dlaczego SSL jest ważny?
Jak zatem SSL wpływa na SEO witryny?
Cóż, technicznie rzecz biorąc, SSL nie jest zaangażowany. Teraz, gdy SSL został wycofany i zastąpiony przez TLS, technologia ta obsługuje HTTPS, bezpieczny wariant HTTP, z którego korzysta większość stron internetowych.
W skrócie, oto dlaczego HTTPS jest ważny dla SEO:
- HTTPS jest lekkim sygnałem rankingowym: Google uwzględnia HTTPS jako czynnik rankingowy.
- HTTPS zapewnia większe bezpieczeństwo i prywatność: Szyfruje dane wymieniane między użytkownikami a stronami internetowymi.
- HTTPS zachowuje dane o przekierowaniach: Zapewnia dokładne dane o przekierowaniach w Google Analytics.
- HTTPS może zwiększyć szybkość witryny, gdy jest używany z nowoczesnymi protokołami: Obsługuje protokół HTTP/2, który może zwiększyć szybkość witryny.
Z drugiej strony ważne jest, aby pomyśleć o tym, jak brak HTTPS może wpłynąć na Twoją witrynę w wyszukiwarce.
Algorytm Google uwzględnia protokół HTTPS jako sygnał rankingowy, co teoretycznie może poprawić pozycję witryny. Biorąc jednak pod uwagę, jak powszechny jest obecnie HTTPS, bardziej prawdopodobnym scenariuszem jest to, że Twoja witryna ucierpi w wynikach wyszukiwania, jeśli go nie masz.
Pamiętaj, że zaangażowanie użytkowników jest kluczowym sygnałem rankingowym, więc gdy ludzie klikają Twoją witrynę w wynikach wyszukiwania, konieczne jest, aby pozostali na stronie i weszli w interakcję z nią, zamiast od razu od niej odchodzić.
Niezabezpieczona witryna często wyświetla ostrzeżenie "Niezabezpieczona", które może wystraszyć przychodzących użytkowników i zniszczyć wskaźniki zaangażowania użytkowników witryny. Właśnie z tego powodu Twoje SEO skorzysta na certyfikacie TLS.
Najlepsze praktyki dotyczące certyfikatów TLS/SSL
1. Uzyskaj certyfikat od wiarygodnego urzędu certyfikacji (CA)
Głównym celem certyfikatów jest zapewnienie godnego zaufania bezpieczeństwa osobom przeglądającym strony internetowe. Aby było to możliwe, należy zakupić certyfikat od autoryzowanego urzędu certyfikacji.
Znane urzędy certyfikacji to między innymi Symantec, GoDaddy, DigiCert i GeoTrust. Większość renomowanych urzędów certyfikacji oferuje również wsparcie techniczne, aby zapewnić prawidłową instalację certyfikatu.
2. Nie przepłacaj za certyfikat, którego nie potrzebujesz
Istnieją różne rodzaje certyfikatów, w tym DV, OV i EV. Główna różnica polega na gwarancji otrzymywanej od urzędu certyfikacji.
- Domain Validated (DV): Wymaga minimalnego wysiłku w celu walidacji - zazwyczaj nic więcej niż udowodnienie własności domeny za pośrednictwem wiadomości e-mail lub rozmowy telefonicznej. Jest to najlepsze rozwiązanie dla blogów lub witryn informacyjnych, które nie muszą zbierać wielu danych osobowych od odwiedzających.
- Organization Validated (OV): Zaprojektowany dla komercyjnych stron internetowych i firm, które zbierają i przechowują informacje o klientach za pośrednictwem swoich stron internetowych.
- Rozszerzona walidacja (EV): Najwyższy w hierarchii i najbardziej rozbudowany typ certyfikatu, wymagający weryfikacji tożsamości prawnej wnioskującego podmiotu. Jest to najlepsze rozwiązanie dla witryn, które wymagają od odwiedzających dużej ilości poufnych danych osobowych, zwłaszcza witryn medycznych lub bankowych.
W przypadku typowego bloga certyfikat DV powinien być wystarczający.
Jednak w zależności od liczby witryn i/lub subdomen, które chcesz objąć jednym certyfikatem, może być konieczne wybranie między certyfikatem wieloznacznym (najlepszym dla wielu subdomen) a certyfikatem alternatywnej nazwy podmiotu (SAN) (najlepszym dla wielu witryn internetowych).
- Certyfikat Wildcard: Zaprojektowany do zabezpieczania wielu subdomen w tej samej witrynie, co jest tańsze niż zakup dedykowanego certyfikatu dla każdej subdomeny osobno.
- Certyfikat SAN: Zaprojektowany do zabezpieczania wielu nazw domen lub stron internetowych jednocześnie, co może zaoszczędzić wiele czasu i pieniędzy.
3. Nie zapominaj, że certyfikaty wygasają
Certyfikaty SSL/TLS wygasają po 398 dniach i muszą zostać odnowione na czas. Opcja odnowienia jest możliwa w ciągu 30 dni od daty wygaśnięcia.
Należy pamiętać, że certyfikaty TLS nie odnawiają się same, a konsekwencją wygaśnięcia certyfikatu TLS jest to, że witryna nie będzie już postrzegana jako bezpieczna - może to narazić na ryzyko zarówno dane witryny, jak i informacje odwiedzających.
Poczekaj na wiadomość e-mail od swojego CA i postępuj zgodnie z instrukcjami, aby odnowić konto.
Najczęściej zadawane pytania
Czy certyfikaty SSL/TLS obejmują subdomeny?
Nie. Nawet certyfikaty wieloznaczne obejmują tylko jeden poziom dla subdomen, więc będziesz potrzebować innego certyfikatu lub możesz użyć certyfikatu SAN.
Jaki jest maksymalny okres ważności certyfikatu SSL/TLS?
Od 1 września 2020 r. maksymalny czas życia certyfikatu SSL lub TLS wynosi 398 dni. Po wygaśnięciu certyfikatu należy go wymienić.
Czy mogę uzyskać certyfikat SSL/TLS za darmo?
Tak, jest to możliwe. Na przykład LetsEncrypt i Cloudflare zapewniają certyfikaty, ale tylko certyfikaty DV (domain-validated) są bezpłatne. Jest to najpopularniejszy typ certyfikatu, który jest weryfikowany wyłącznie na podstawie nazwy domeny.
Większość dostawców usług hostingowych oferuje bezpłatne certyfikaty przy zakupie hostingu.