Certyfikat SSL — co to jest, dlaczego potrzebujesz, darmowy vs płatny
Kłódka w pasku adresu przeglądarki oznacza, że strona korzysta z certyfikatu SSL. Ale czym dokładnie jest SSL, po co go potrzebujesz i czy musisz za niego płacić? Wyjaśniamy różnice między DV, OV i EV oraz kiedy darmowy Let’s Encrypt w pełni wystarczy.
Co to jest certyfikat SSL?
Certyfikat SSL szyfruje połączenie między przeglądarką a serwerem, chroniąc dane (loginy, hasła, numery kart) przed przechwyceniem. Darmowy Let's Encrypt (DV SSL) szyfruje tak samo jak płatne certyfikaty DV i zwykle wystarcza dla blogów, stron firmowych oraz wielu prostszych wdrożeń. Płatne OV/EV różnią się głównie poziomem walidacji firmy, nie siłą szyfrowania.
Zobacz szczegółowe porównanie →Czym jest certyfikat SSL i jak działa?
SSL (Secure Sockets Layer) — a ściślej jego następca TLS (Transport Layer Security)
— to protokół kryptograficzny, który szyfruje dane przesyłane między przeglądarką
użytkownika a serwerem WWW. Gdy strona korzysta z SSL, jej adres zaczyna się od https:// zamiast http://, a przeglądarka wyświetla kłódkę.
Jak to działa w praktyce? Gdy użytkownik wchodzi na stronę z SSL, następuje tzw. SSL handshake (uścisk dłoni):
- Przeglądarka żąda certyfikatu — serwer wysyła swój certyfikat SSL z kluczem publicznym.
- Weryfikacja certyfikatu — przeglądarka sprawdza, czy certyfikat jest wydany przez zaufaną instytucję (CA — Certificate Authority) i czy nie wygasł.
- Wymiana klucza sesyjnego — przeglądarka generuje losowy klucz sesyjny, szyfruje go kluczem publicznym serwera i wysyła. Tylko serwer może go odszyfrować swoim kluczem prywatnym.
- Szyfrowana komunikacja — od tego momentu wszystkie dane są szyfrowane kluczem sesyjnym. Nikt „po drodze” (ISP, haker na publicznym WiFi) nie może odczytać treści.
Cały proces trwa milisekundy i jest niewidoczny dla użytkownika. Ale dzięki niemu hasła, dane osobowe i numery kart kredytowych są bezpieczne.
Typy certyfikatów SSL: DV, OV, EV
Certyfikaty SSL różnią się poziomem walidacji (kto i jak szczegółowo sprawdza tożsamość właściciela), a nie siłą szyfrowania. Wszystkie trzy typy szyfrują dane tak samo mocno.
Weryfikacja tylko domeny — CA sprawdza, czy wnioskodawca kontroluje domenę (np. przez email lub rekord DNS). Wydawany w minuty. Darmowy (Let’s Encrypt, ZeroSSL) lub bardzo tani (od 30 PLN/rok). Zwykle wystarczający dla większości stron — blogów, stron firmowych i wielu sklepów.
Weryfikacja firmy — CA sprawdza istnienie organizacji (KRS, NIP, adres). Wymaga dokumentów, czas wydania: 1-3 dni. Cena: 200-800 PLN/rok. W praktyce różnica widoczna tylko w szczegółach certyfikatu, nie w pasku adresu. Stosowany przez większe firmy ze względu na wymogi compliance.
Najpełniejsza weryfikacja tożsamości firmy. Cena: 500-3000+ PLN/rok. Współczesne przeglądarki nie eksponują już EV tak mocno w pasku adresu jak kiedyś, dlatego jego sens wynika dziś głównie z wymogów formalnych, procedur zakupowych lub compliance.
Darmowy SSL (Let’s Encrypt) vs płatny — co wybrać?
Let’s Encrypt to darmowa organizacja non-profit (wspierana m.in. przez Google, Mozilla, Cisco), która wydaje certyfikaty DV SSL. Szyfrowanie jest identyczne z płatnymi certyfikatami. Kluczowe różnice:
| Cecha | Let’s Encrypt (darmowy) | Płatny DV SSL |
|---|---|---|
| Cena | 0 PLN | 30-200 PLN/rok |
| Szyfrowanie | TLS 1.2/1.3 (identyczne) | TLS 1.2/1.3 (identyczne) |
| Ważność | 90 dni (auto-odnowienie) | 1 rok |
| Gwarancja finansowa | Brak | $10k-$1.75M (w zależności od CA) |
| Wildcard (*.domena.pl) | Tak (darmowy) | Tak (droższy) |
Dla blogów, stron firmowych i wielu sklepów WooCommerce/PrestaShop — darmowy Let’s Encrypt zwykle jest wystarczający. Jeśli Twój hosting nie oferuje darmowego SSL lub pobiera za niego opłatę, porównaj inne oferty i sprawdź całkowity koszt utrzymania.
Dlaczego HTTPS stał się standardem?
- Google promuje HTTPS — od lat HTTPS jest traktowany jako pozytywny sygnał. Nie oznacza to automatycznie wysokich pozycji, ale brak HTTPS pogarsza zaufanie i może utrudniać prowadzenie strony.
- Przeglądarki ostrzegają — Chrome, Firefox i Edge wyświetlają „Niezabezpieczona” przy stronach HTTP. Odwiedzający tracą zaufanie.
- Procesory płatności wymagają SSL — Przelewy24, PayU, Stripe nie będą działać bez HTTPS. Sklep bez SSL = brak płatności online.
- RODO/GDPR — przy przetwarzaniu danych osobowych szyfrowanie transmisji jest dziś standardem bezpieczeństwa i często elementem oczekiwanych środków technicznych. Sam certyfikat nie rozwiązuje całego tematu zgodności, ale zwykle jest podstawą bezpiecznej konfiguracji.
- Ochrona przed podsłuchem — bez SSL dane (loginy, hasła, formularze) przesyłane są jawnym tekstem. Na publicznym WiFi każdy może je przechwycić.
Najczęstsze pytania
Co to jest certyfikat SSL?
Certyfikat SSL szyfruje połączenie między przeglądarką a serwerem. Chroni dane (loginy, hasła, numery kart) przed przechwyceniem. Stronę z SSL rozpoznasz po kłódce i adresie HTTPS.
Czy darmowy SSL Let’s Encrypt jest bezpieczny?
Tak — szyfruje identycznie jak płatne certyfikaty DV (TLS 1.2/1.3). Let’s Encrypt jest szeroko wspierany przez przeglądarki i powszechnie używany w praktyce.
Jaka jest różnica między DV, OV i EV SSL?
DV = weryfikacja domeny (minuty, darmowy). OV = weryfikacja firmy (1-3 dni, 200-800 PLN/rok). EV = pełna weryfikacja (500-3000+ PLN/rok). Szyfrowanie identyczne we wszystkich trzech — różni się tylko procedura sprawdzania tożsamości.
Sprawdź, które hostingi mają darmowy SSL
Filtruj po SSL w cenie planu. Porównaj 15 dostawców.
Otwórz konfigurator →Lub sprawdź ofertę home.pl:
#Reklama