Certyfikat SSL (Secure Socket Layer) jest wykorzystywany do szyfrowania danych przesyłanych między serwerem a komputerem użytkownika. Ma zapewnić bezpieczeństwo wszystkim użytkownikom, korzystającym z danej witryny, a także samej witrynie. Dostępne są zarówno darmowe, jak i płatne certyfikaty. Czym się różnią i jaki rodzaj SSL wybrać? Sprawdźmy!
SSL – krótkie przypomnienie
Strony, które wykorzystują certyfikat SSL, można rozpoznać w łatwy sposób – wystarczy zwrócić uwagę na pasek adresowy. Jeśli adres witryny rozpoczyna się od https, a nie http, oznacza to, że dane udostępniane na stronie, są chronione.
Protokół https wykorzystywany jest zarówno w branży e-commerce, bankowości elektronicznej czy przy płatnościach online, jak i przez właścicieli innych rodzajów witryn. Więcej informacji na temat certyfikatu SSL, znajdziesz we wpisie „Błąd certyfikatu SSL – dlaczego się pojawia?”.
Certyfikat SSL darmowy i płatny – jakie są różnice?
Certyfikaty darmowe i płatne odróżniają od siebie przede wszystkim różne poziomy walidacji, czyli weryfikacji domeny, jej właściciela czy podmiotu gospodarczego. Im wyższy jest poziom walidacji, tym strona jest bezpieczniejsza dla użytkowników. Wyróżnia się 3 rodzaje walidacji:
- Domain Validation (SSL DV) – ten certyfikat jest najprostszy ze wszystkich, a jego uzyskanie zajmuje zwykle od kilku do kilkunastu minut. SSL DV jest wykorzystywany przede wszystkim w darmowych lub niskobudżetowych certyfikatach i zapewnia walidację samej domeny – bez sprawdzania np. danych organizacji. Walidacja odbywa się automatycznie.
- Organization Validation (SSL OV) – firma, która wystawia certyfikat SSL, weryfikuje zarówno samą domenę, jak i właściciela, który chce otrzymać certyfikat (sprawdza, czy dany podmiot jest właścicielem serwisu, weryfikując przy tym zgodność nazwy danego podmiotu z danymi w KRS i CEIDG). Walidacja OV jest wykorzystywana przy płatnych certyfikatach.
- Extended Validation ( SSL EV) – jest to najbardziej złożony proces walidacji. Wystawca certyfikatu sprawdza zarówno dane rejestrowe firmy, jak i umowy spółki, a także weryfikuje, czy podmiot, który stara się o certyfikat, ma prawo do posługiwania się daną domeną. Uzyskanie rozszerzonego certyfikatu trwa najdłużej i jest najdroższe.
Poza różnicami w poziomach walidacji, istnieją także inne różnice między darmowymi i płatnymi certyfikatami SSL. Może to być np. przyznawanie bądź nieprzyznawanie oznaczenia Trust Seal, które potwierdza korzystanie z certyfikatu SSL przez daną witrynę oraz jej weryfikację zgodnie ze światowymi normami.
Przykłady darmowych certyfikatów SSL
Firm, które wstawiają certyfikaty SSL za darmo, jest wiele. Jedna z najbardziej popularnych i zaufanych to Let’s Encrypt. Firma ta wydała już miliony certyfikatów użytkownikom na całym świecie. Oferuje darmowe certyfikaty oraz narzędzia do zarządzania nimi. Innymi stronami, na których możesz znaleźć darmowe certyfikaty, są np. SSL for Free, Cloudflare, Free SSL, Go Daddy.
Dla kogo darmowe, a dla kogo płatne certyfikaty?
W ofertach wielu firm, oferujących bezpłatne protokoły HTTPS można znaleźć różne udogodnienia, takie jak ochrona przed atakami DDOS. Certyfikaty wydawane przez najpopularniejsze firmy, takie jak Let’s Encrypt czy Cloudflare zapewniają ochronę na przyzwoitym poziomie. Jednak mimo bogatej oferty, darmowe certyfikaty nie są wolne od wad. Zdarza się na przykład, że komunikacja między witryną a serwerem szyfrowana jest tylko jednostronnie – między użytkownikami a serwerem danej firmy (ale między serwerem firmy a serwerem docelowym już nie). Darmowe certyfikaty SSL będą więc odpowiednie np. dla właścicieli blogów, stron-wizytówek czy innych niewielkich serwisów, które nie przetwarzają wrażliwych danych swoich użytkowników.
Płatne certyfikaty natomiast są polecane m.in. właścicielom sklepów internetowych lub innych stron, za pośrednictwem których użytkownicy dokonują płatności online, podają numery kart kredytowych, swoje dane osobowe lub inne, poufne informacje.
