Certyfikaty SSL OV i EV — kiedy warto płacić?
Trzy typy certyfikatów SSL
Wszystkie certyfikaty SSL szyfrują transmisję danych — różnią się poziomem weryfikacji właściciela i tym, co certyfikat "potwierdza" użytkownikowi końcowemu.
| Typ | Co potwierdza | Czas wydania | Cena (rocznie) | Dla kogo |
|---|---|---|---|---|
| DV (Domain Validation) | Kontrola nad domeną | Minuty | Darmowy (Let's Encrypt) | Blogi, landing pages, API |
| OV (Organization Validation) | Kontrola + istnienie firmy | 1-3 dni robocze | ~100-500 PLN | Firmy B2B, portale korporacyjne |
| EV (Extended Validation) | Pełna weryfikacja prawna firmy | 3-14 dni roboczych | ~300-1500 PLN | Banki, fintech, e-commerce premium |
Powiązane tematy: Let's Encrypt automatyzacja, wildcard certyfikaty, SPF/DKIM/DMARC oraz Cloudflare konfiguracja. Do porównania hostingów z darmowym SSL użyj kalkulatora kosztów.
DV — certyfikat darmowy (Let's Encrypt)
Certyfikat DV weryfikuje jedynie że kontrolujesz domenę (przez rekord DNS lub plik HTTP). Szyfrowanie jest identyczne jak OV/EV — użytkownik widzi kłódkę HTTPS. Różnica: certyfikat DV nie zawiera informacji o firmie w polu Subject.
Kiedy DV wystarczy: Strony informacyjne, blogi, portfolio, API, narzędzia wewnętrzne, staging/testing — czyli zdecydowana większość projektów.
Wady DV: Krótki czas ważności (90 dni dla Let's Encrypt), wymaga automatycznego odnawiania, nie zawiera nazwy firmy w certyfikacie.
OV — certyfikat z weryfikacją organizacji
Urząd certyfikacji (CA) weryfikuje nie tylko kontrolę nad domeną, ale też że firma rzeczywiście istnieje — sprawdza KRS/CEIDG, rejestr handlowy lub zewnętrzne bazy firm. Certyfikat zawiera nazwę firmy w polu Organization.
Kiedy OV ma sens:
- Portale B2B gdzie klienci chcą potwierdzenia tożsamości firmy
- Systemy CRM, ERP, panele klientów firmowych
- Integracje z systemami partnerów wymagającymi OV w umowach
- Sklepy internetowe z B2B klientelą
Dostawcy certyfikatów OV (porównanie cen)
| Dostawca | Certyfikat OV | Wildcard OV | Uwagi |
|---|---|---|---|
| Sectigo (Comodo) | ~150 PLN/rok | ~700 PLN/rok | Dobry stosunek ceny do jakości |
| DigiCert | ~600 PLN/rok | ~2000 PLN/rok | Najwyższe zaufanie enterprise |
| GlobalSign | ~400 PLN/rok | ~1200 PLN/rok | Popularny w korporacjach |
| Certum (Asseco) | ~200 PLN/rok | ~900 PLN/rok | Polski CA, popularny w Polsce |
EV — rozszerzona weryfikacja
EV wymaga najgłębszej weryfikacji: CA sprawdza dokumenty rejestrowe, adres siedziby, tożsamość osoby podpisującej wniosek. Historycznie przeglądarka wyświetlała zieloną nazwę firmy na pasku adresu.
Ważna zmiana 2019: Chrome i Firefox usunęły zielony pasek EV — nazwa firmy nie jest już widoczna w pasku adresu. EV wyróżnia się tylko w szczegółach certyfikatu (kliknięcie na kłódkę → "Certyfikat").
Kiedy EV wciąż ma sens: Bankowość online, płatności, firmy gdzie audyt bezpieczeństwa wymaga EV, certyfikaty do podpisywania kodu (Code Signing EV wymaga sprzętowego tokena).
Dla większości e-commerce: DV + Cloudflare lub OV wystarczy. EV nie poprawia konwersji od czasu usunięcia zielonego paska.
Certyfikaty Code Signing — osobna kategoria
Certyfikaty do podpisywania oprogramowania (Code Signing) to inna kategoria niż SSL dla stron. Używane przez deweloperów oprogramowania (pliki .exe, .msi, ovpn, skrypty PowerShell).
| Typ | Wymagania | SmartScreen | Cena |
|---|---|---|---|
| OV Code Signing | Weryfikacja firmy | Ostrzeżenie do budowy reputacji | ~400-800 PLN/rok |
| EV Code Signing | Weryfikacja + token HSM | Natychmiastowe zaufanie | ~800-2000 PLN/rok |
EV Code Signing jest wymagany żeby od razu ominąć Windows SmartScreen — bez niego nowe oprogramowanie dostaje "ostrzeżenie bezpieczeństwa" do momentu zbudowania reputacji.
Proces uzyskania certyfikatu OV
- Generuj CSR (Certificate Signing Request) na serwerze lub lokalnie
- Złóż zamówienie u CA z wybranym typem certyfikatu
- Weryfikacja domeny — email/DNS/plik HTTP (jak DV)
- Weryfikacja organizacji — CA dzwoni lub wysyła email do firmy, sprawdza KRS
- Odbiór certyfikatu — plik .crt + chain certificates
- Instalacja na serwerze Nginx/Apache
# Generowanie CSR (Linux)
openssl req -new -newkey rsa:2048 -nodes \
-keyout domena.key \
-out domena.csr \
-subj "/C=PL/ST=Mazowieckie/L=Warszawa/O=Moja Firma Sp. z o.o./CN=domena.pl"
# Wyświetl CSR (do wklejenia w panelu CA)
cat domena.csr