Jakie są rodzaje certyfikatów SSL?

Certyfikat SSL – co to jest?

SSL to skrót od Secure Socket Layer. Jest to protokół sieciowy, który stanowi powszechnie przyjęty standard szyfrowania danych w sieci. Może być wykorzystywany do połączenia nie tylko ze stroną, ale również z serwerem FTP czy serwerem poczty elektronicznej. Według danych w3techs.com z szyfrowanego połączenia korzysta 80% wszystkich stron. Wiele pod tym względem zawdzięczamy Google. Od 68. wersji przeglądarki Chrome witryny, które nie korzystają z szyfrowanego połączenia, zaczęły być oznaczane jako niezabezpieczone. Nastąpiło to w 2018 roku. Właściciele witryn nie mieli zatem większego wyboru, tym bardziej w przypadku stron firmowych czy sklepów. Taki komunikat w przeglądarce powoduje, że konwersja w witrynie jest niższa, a doświadczenia użytkowników negatywne. Z tego powodu korzystanie z szyfrowanego połączenia stało się w przypadku stron WWW niezbędne.

Po czym poznać, że witryna korzysta z certyfikatu SSL? Otóż jej adres zaczyna się wtedy od https://, zamiast http://. Duży wpływ na popularność tego rozwiązania ma również możliwość korzystania z niego za darmo. Można postawić na płatny certyfikat lub darmowy. Drugi wariant jest w zdecydowanej większości przypadków wystarczający. Ponadto firmy hostingowe dają możliwość łatwej instalacji certyfikatu bez ponoszenia jakichkolwiek kosztów.

Najpopularniejszym darmowym certyfikatem SSL jest Let’s Encrypt, z którego korzysta około 260 milionów stron. To właśnie on jest najczęściej dostępny bez opłat w ramach pakietów hostingowych w polskich firmach.

Certyfikaty SSL – rodzaje

Darmowy certyfikat SSL jest wystarczający w przypadku większości stron WWW, natomiast dostępne są również komercyjne rozwiązania. W niektórych przypadkach ich wybór jest jedyną słuszną decyzją, co wynika ze specyfiki działalności. Poszczególne certyfikaty różnią się poziomem weryfikacji i ceną. Oto, jakie są rodzaje certyfikatów:

• DV, czyli Domain Validation – w tym przypadku mamy do czynienia z podstawowym poziomem zabezpieczenia. Weryfikacji podlega wyłącznie domena, tzn. sprawdzane jest, czy pod danym adresem rzeczywiście działa strona WWW. Przeprowadzane jest to automatycznie. W szczegółach certyfikatu pojawia się chroniona domena. Nie dochodzi tutaj do sprawdzenia firmy będącej abonentem danego adresu. Ten rodzaj certyfikatu można uzyskać od ręki – proces wystawiania został ograniczony do minimum. Najczęściej weryfikacja trwa do 10 minut. Roczna opłata za korzystanie z niego zaczyna się od kilkudziesięciu złotych. Niektóre firmy hostingowe oferują taki certyfikat w cenie usługi serwerowej. Jest on dobrym wyborem w przypadku prywatnych stron WWW, blogów, forów czy małych sklepów WWW.
• OV, czyli Organization Validation – w tym przypadku przeprowadzana jest rozszerzona weryfikacja, gdyż obejmuje nie tylko domenę, ale również podmiot, który wnioskuje o SSL. W szczegółach wystawionego certyfikatu widnieje informacja o tej firmie. Jej tożsamość jest potwierdzona przez zaufane centrum weryfikacyjne. Ten rodzaj certyfikatu może być kupowany wyłącznie przez przedsiębiorstwa. Firma może być poproszona o dostarczenie dokumentów potwierdzających istnienie podmiotu. Może chodzić np. o umowę spółki czy też wyciąg z KRS. Certyfikat jest wydawany w 1-7 dni i najczęściej kosztuje kilkaset złotych za rok. Korzystają z niego przeważnie małe oraz średniej wielkości sklepy WWW, witryny firmowe czy też serwery poczty.
• EV, czyli Extended Validation – w tym przypadku mamy do czynienia z najwyższym poziomem weryfikacji. Podmiot wnioskujący o certyfikat jest sprawdzany jeszcze bardziej szczegółowo. Weryfikowane są status prawny, realne prowadzenie działalności, zgodność z danymi urzędowymi. Ze względu na szczegółowość sprawdzania wniosku długo czeka się na wydanie certyfikatu. Przeważnie trwa to do 10 dni. Po ten rodzaj certyfikatu sięgają banki, instytucje finansowe, posiadacze stron firmowych, witryny administracji publicznej, opieki medycznej, średnie i duże sklepy WWW. W tym przypadku cena certyfikatu jest najwyższa – wynosi około kilkuset złotych za rok, przeważnie kosztuje ok. 2 razy więcej niż certyfikat OV. Niezbędna może być weryfikacja telefoniczna w języku angielskim.

Na czym natomiast polega różnica między darmowym certyfikatem DV a płatnym? Wynika ona z gwarancji na określoną kwotę. Oznacza to, że w przypadku złamania szyfru certyfikatu jego wystawca pokrywa całkowite lub częściowe koszty skutków tego zdarzenia. Decydując się na płatne rozwiązanie, warto zapoznać się z regulaminem. W jakich przypadkach rzeczywiście to odszkodowanie może być wypłacone, jakie są ograniczenia na incydent? Czy otrzymanie tych środków jest w ogóle realne?

W przypadku gdy prowadzimy działalność, w której ogromne znaczenie ma wiarygodność, np. sprzedajemy produkty, oferujemy usługi finansowe, to wtedy warto postawić na płatny certyfikat OV lub EV. Wybór płatnego certyfikatu DV przynosi korzyść jedynie w postaci gwarancji. Czy realne jest otrzymanie odszkodowania? To już kwestia dyskusyjna.

Certyfikat dla wielu subdomen

Opisane certyfikaty są wystawiane tylko dla jednej domeny. Załóżmy, że wykupujemy go dla https://www.grupa-icea.pl/. W takim przypadku, jeśli mamy subdomeny, np.https://www.blog.grupa-icea.pl/ i https://www.sklep.grupa-icea.pl/, to potrzebujemy trzech certyfikatów. Jest jednak rozwiązanie, dzięki któremu ochroną mogą być objęte wszystkie subdomeny w obrębie domeny. Tym rozwiązaniem jest certyfikat typu Wildcard. Nie obejmuje on wszystkich adresów domeny, np. trzeciego rzędu typu https://www.nowy.sklep.grupa-icea.pl/. W przypadku serwisów, które składają się z wielu subdomen, certyfikat typu Wildcard jest bardzo opłacalnym rozwiązaniem.

Podsumowanie

Rozwiązaniem dla właścicieli wielu domen jest certyfikat Multi-Domain. Umożliwia on zabezpieczenie nawet 100 różnych adresów. Certyfikat obejmie jednak wyłącznie te domeny, które podano przy wnioskowaniu o niego.