TL;DR — przeczytaj w 30 sekund
- Certyfikaty SSL dzielą się na trzy poziomy walidacji tożsamości: DV, OV i EV
- Certyfikat DV nie podaje żadnych informacji o właścicielu domeny – tylko potwierdza dostęp do niej
- Let's Encrypt jest darmowy, oparty na DV i wystawiany co 3 miesiące – bez sumy gwarancyjnej
- Zakres ochrony domeny określa typ: Single domain, Wildcard lub Multidomain
Krótka odpowiedź
Certyfikaty SSL różnią się przede wszystkim poziomem walidacji tożsamości właściciela domeny oraz zakresem chronionych adresów. Wyróżniamy trzy główne typy według walidacji: DV (Domain Validation), OV (Organization Validation) i EV (Extended Validation). Pod kątem zakresu ochrony dzielimy je na Single domain, Wildcard i Multidomain. Wybór odpowiedniego certyfikatu zależy od rodzaju serwisu i poziomu zaufania, jaki chcemy zbudować u użytkowników. Artykuł powstał na podstawie materiału opublikowanego przez CyberFolks.
Trzy poziomy walidacji: DV, OV i EV
Najniższy poziom weryfikacji oferuje DV (Domain Validation). Certyfikat ten potwierdza wyłącznie to, że osoba go generująca ma dostęp do skrzynki mailowej w postaci admin@nazwadomenowa.pl lub może wgrać odpowiedni plik na serwer w folderze domeny. Certyfikat DV nie podaje żadnych informacji o właścicielu domeny – wiemy jedynie, że ktoś ma nad nią kontrolę. Stanowi to istotne ograniczenie wiarygodności: zdarza się, że ktoś rejestruje domenę łudząco podobną do innej i wystawia dla niej certyfikat DV, przez co przeglądarka traktuje taką stronę jako chronioną, mimo że może ona służyć do wyłudzania danych. Szyfrowanie transmisji działa jednak równie skutecznie jak w wyższych typach – różnica leży wyłącznie w wiarygodności tożsamości, nie w jakości ochrony przesyłanych danych.
OV (Organization Validation) wprowadza weryfikację tożsamości właściciela w oparciu o oficjalne rejestry. Przykładowo nazwa spółki, na którą wystawiany jest certyfikat, musi być zgodna z nazwą figurującą w Krajowym Rejestrze Sądowym. Taka procedura realnie utrudnia podszywanie się pod inne podmioty – wymaga posiadania zarejestrowanej firmy o nazwie bliskiej „atakowanej", co stanowi znaczącą barierę dla oszustów. Poziom szyfrowania pozostaje identyczny z DV, natomiast wiarygodność potwierdzenia tożsamości jest wyraźnie wyższa.
EV (Extended Validation) to najwyższy poziom walidacji, wymagający najbardziej złożonej procedury weryfikacyjnej. Czas i koszty uzyskania certyfikatu EV są najwyższe spośród wszystkich typów. W zamian certyfikat EV oferuje najwyższą sumę gwarancyjną, a niektóre przeglądarki internetowe wyróżniają strony nim chronione specjalnym oznaczeniem w pasku adresu, sygnalizując użytkownikom najwyższy poziom zaufania. To rozwiązanie szczególnie rekomendowane dla serwisów finansowych i dużych sklepów internetowych, gdzie zaufanie użytkownika ma bezpośrednie przełożenie na konwersję.
Certyfikaty komercyjne a Let's Encrypt
Let's Encrypt to darmowy certyfikat dostępny do samodzielnej instalacji, który zdobył szeroką popularność na rynku. Szyfruje dane równie skutecznie jak certyfikaty komercyjne, jednak ma istotne ograniczenia. Opiera się wyłącznie na walidacji DV – najsłabszym możliwym poziomie weryfikacji tożsamości. Jest wystawiany raz na trzy miesiące i wymaga cyklicznego odnawiania. Co kluczowe – Let's Encrypt nie oferuje żadnej sumy gwarancyjnej.
Certyfikaty komercyjne oferują wyższy poziom walidacji (OV lub EV) oraz mechanizm sumy gwarancyjnej, który stanowi dodatkowy element ochrony użytkownika końcowego. W praktyce przypadki faktycznego skorzystania z tego mechanizmu są niezwykle rzadkie, jednak jego obecność bywa ważnym argumentem przy wyborze rozwiązania dla serwisu obsługującego transakcje finansowe lub wrażliwe dane osobowe.
Z perspektywy hostingowej kluczowa jest kwestia automatyzacji. Dobry dostawca hostingu powinien obsługiwać automatyczne odnawianie certyfikatu Let's Encrypt, eliminując ryzyko wygaśnięcia i konieczność ręcznej instalacji co trzy miesiące. Gdy hosting tego nie zapewnia, użytkownik musi sam pilnować terminu i przeprowadzać odnowienie – co w praktyce bywa uciążliwe i grozi przerwą w działaniu certyfikatu.
Zakres ochrony domeny: Single domain, Wildcard i Multidomain
Niezależnie od poziomu walidacji certyfikaty różnią się również zakresem chronionych adresów. Single domain chroni jeden adres – najczęściej z wariantem „www." z przodu oraz wszystko to, co pojawi się po ukośniku. Przykładowy zakres ochrony to: sklep.pl, www.sklep.pl, sklep.pl/logowanie. Ten typ nie chroni natomiast subdomen – jeśli prowadzisz sklep.pl i blog.sklep.pl, Single domain nie wystarczy dla obu adresów jednocześnie.
Wildcard rozwiązuje problem subdomen – chroni wszystkie subdomeny pierwszego poziomu danej domeny. Przykładowo certyfikat wystawiony dla *.sklep.pl obejmuje buty.sklep.pl, torebki.sklep.pl i logowanie.sklep.pl. Nie zabezpiecza jednak dalszych poziomów subdomen. To dobre rozwiązanie dla serwisów z wieloma subdomenami zarządzanymi w ramach jednego hostingu, gdzie kupowanie osobnych certyfikatów dla każdej subdomeny byłoby nieefektywne kosztowo.
Multidomain pozwala chronić wiele różnych nazw domenowych jednym certyfikatem. Jest to efektywniejsze kosztowo niż zakup osobnych certyfikatów dla każdej domeny z osobna. Należy jednak pamiętać, że liczba chronionych domen jest skończona i określona w warunkach konkretnego certyfikatu – przed zakupem warto upewnić się, że limit odpowiada potrzebom. Dodatkową kwestią jest możliwość instalacji na wielu serwerach jednocześnie – istotne wtedy, gdy zasoby domeny są rozłożone na kilka maszyn o różnych adresach IP.
Jeśli zależy Ci na automatycznym odnawianiu certyfikatu SSL bez ręcznych interwencji i ryzyka wygaśnięcia, LH.pl oferuje hosting z wbudowaną obsługą Let's Encrypt i pełną automatyzacją procesu odnawiania.
Więcej poradników: Co to jest certyfikat SSL i jak działa?, Hosting dla sklepu internetowego – na co zwrócić uwagę?, Bezpieczeństwo WordPress a certyfikat SSL.