Certyfikat SSL – fundament każdej strony
Certyfikat SSL (właściwie TLS) to plik cyfrowy potwierdzający tożsamość serwera i umożliwiający szyfrowane połączenie. Kłódka w pasku adresu to nie tylko bezpieczeństwo — to też warunek wstępny dla HTTP/3, czynnik rankingowy Google i wymóg RODO przy przetwarzaniu danych osobowych.
HTTP/2 i HTTP/3
Strony z HTTPS mogą korzystać z HTTP/2 (multipleksowanie: wiele zasobów przez jedno połączenie) i HTTP/3 opartego na QUIC. LiteSpeed obsługuje HTTP/3 natywnie. Bez certyfikatu nie ma dostępu do tych protokołów.
Google i pozycje SEO
Google ogłosił HTTPS jako czynnik rankingowy w 2014 roku. Od 2018 Chrome oznacza strony bez certyfikatu etykietą "Niezabezpieczone" — co bezpośrednio wpływa na współczynnik odrzuceń. Strony bez certyfikatu mają trudniejszy start w wynikach organicznych.
RODO i ochrona danych
RODO wymaga stosowania środków technicznych chroniących dane osobowe. Przesyłanie danych przez nieszyfrowane HTTP — formularze, dane logowania, zamówienia — to naruszenie zasad minimalizacji ryzyka. TLS to jeden z podstawowych wymogów zgodności.
HSTS i ochrona sesji
HSTS (HTTP Strict Transport Security) nakazuje przeglądarce zawsze łączyć się przez HTTPS, nawet jeśli użytkownik wpisał http://. Chroni przed atakami downgrade i przechwytywaniem sesji. Konfiguracja: Strict-Transport-Security: max-age=31536000; includeSubDomains.
DV, OV, EV i Wildcard
Certyfikaty różnią się poziomem weryfikacji tożsamości. Dla większości stron certyfikat DV od Let's Encrypt jest w pełni wystarczający.
Potwierdza kontrolę nad domeną. Weryfikacja automatyczna przez DNS lub plik na serwerze. Wystarczy dla zdecydowanej większości stron.
CA weryfikuje dane firmy: nazwę, kraj, adres. W certyfikacie widoczna jest nazwa organizacji. Weryfikacja ręczna.
Najwyższy poziom weryfikacji tożsamości prawnej organizacji. Od 2019 przeglądarki ukrywają zieloną nazwę firmy — EV traci praktyczne uzasadnienie dla większości stron.
Obejmuje domenę główną i wszystkie subdomeny (sklep.domena.pl, blog.domena.pl, api.domena.pl). Let's Encrypt oferuje Wildcard przez weryfikację DNS.
Let's Encrypt — bezpłatny certyfikat jest pełnowartościowy
Let's Encrypt to urząd certyfikacji prowadzony przez nonprofit Internet Security Research Group, wspierany przez Mozilla, Google i Cisco. Wystawia certyfikaty DV bezpłatnie, automatycznie, z 90-dniowym cyklem odnowień. Certyfikat Let's Encrypt jest tak samo bezpieczny jak komercyjny certyfikat DV za kilkaset złotych rocznie — szyfrowanie jest identyczne. Na hostingu Joton instalacja i odnawianie odbywa się automatycznie, bez żadnej interwencji z Twojej strony.