Co to jest certyfikat SSL i dlaczego szyfrowanie jest ważne dla SEO Twojej strony?


Czym jest certyfikat SSL?
Jak działa szyfrowanie SSL
Rodzaje certyfikatów SSL
Certyfikat DV
Certyfikat OV
Certyfikat EV
Certyfikat SSL - ile kosztuje?
Darmowy certyfikat SSL
Dlaczego warto wdrożyć certyfikat?
SSL a SEO
SSL a budowa zaufania
Wdrożenie HTTPS
Najczęstsze błędy we wdrożeniu
Brak przekierowań
Wewnętrzne zasoby serwisu
Tag kanoniczny
Mapa strony w formacie XML
Usługi Google Search Console
Weryfikacja poprawności wdrożenia SSL
Podsumowanie
Czym jest certyfikat SSL?
SSL (Secure Sockets Layer) jest to protokół sieciowy używany do zabezpieczenia połączenia sieciowego. Został on przyjęty jako standard szyfrowania danych i zapewnienia poufności w transmisji danych internetowych. Używa się go w różnych protokołach aplikacji – zarówno podczas obsługi stron internetowych (protokół http) czy przesyłania poczty internetowej, jak i podczas prac z serwerami FTP. Dzięki uniwersalności i prostej obsłudze certyfikat SSL stał się standardem bezpieczeństwa w serwisach przesyłających nasze dane – w sklepach internetowych, serwisach aukcyjnych czy też w bankowości internetowej.
Jak działa szyfrowanie SSL
Sposób działania certyfikatu SSL można przedstawić w kilku krokach:
- Przeglądarka wysyła prośbę do serwera (podczas próby otwarcia strony www)
- Serwer zwraca odp z kopią certyfikatu SSL
- Przeglądarka weryfikuje ważność i poprawność certyfikatu SSL, by wysłać po tej czynności odp do serwera
- Serwer generuje klucz
- Przeglądarka za pośrednictwem zaszyfrowanego klucza przekazuje dane klienta
- Serwer odszyfrowuje przesłany klucz i umożliwia przesyłanie zaszyfrowanych danych
Oczywiście są to bardzo ogólnie opisane kroki. Zależy nam tu na stworzeniu zarysu funkcjonowania procesów podczas szyfrowanego transferu danych – nie na dokładnych technicznych wyjaśnieniach.
Rodzaje certyfikatów SSL
Certyfikaty dla przeciętnego właściciela serwisu internetowego można podzielić przede wszystkim na darmowe i płatne. Na tym jednak nie kończy się podział certyfikatów. Dzielą się one również na kilka typów ze względu na poziom szyfrowania.
Certyfikat DV (Domain Validation)
Jest to najprostszy i najczęściej wybierany typ certyfikatu. Jest on przypisywany do domeny i nie przesyła do przeglądarki żadnych informacji na temat właściciela certyfikatu. Aby zakupić taki certyfikat, musimy:
- posiadać domenę zarejestrowaną na dane firmowe (widoczne we WHOIS),
- posiadać pocztę w domenie serwisu (musimy zweryfikować się przez link przesłany mailem).
Certyfikat OV (Organization Validation)
Ten typ certyfikacji potwierdza nie tylko prawa do domeny, ale i dane związane z firmą. By wdrożyć taki certyfikat, należy potwierdzić nie tylko domenę, ale i dane firmowe.
Certyfikaty EV (Extended Validation)
Wydane tego certyfikatu wiąże się z dużo bardziej restrykcyjnymi analizami. Oprócz przesłania dokumentów firmowych musimy w tym przypadku przejść specjalną weryfikację. W tym celu najlepiej skontaktować się ze specjalną organizacją weryfikującą.
Strony z tego rodzaju certyfikatami SSL możemy łatwo rozpoznać – po danych firmowych w pasku przeglądarki:
Warto wiedzieć, że w ofercie darmowych dostawców znajdziemy tylko certyfikaty DV. Za pozostałe rodzaje musimy już zapłacić.
Certyfikat SSL – ile kosztuje?
Płatne certyfikaty SSL dystrybuowane są przez wiele podmiotów zajmujących się dystrybucją certyfikatów. Są do tego upoważnieni przez urząd certyfikacji – CA Security Council (CASC).
Aby przedstawić orientacyjny koszt zakupu takiego certyfikatu, wykorzystamy ofertę jednego z dystrybutorów (https://pl.godaddy.com/web-security/ssl-certificate):
Darmowy certyfikat SSL
Oprócz w/w płatnych certyfikatów istnieje możliwość nabycia darmowego certyfikatu SSL. Dystrybucją takich certyfikatów zajmują się głównie Let’s Encrypt (https://letsencrypt.org/) oraz Cloudflare (https://www.cloudflare.com). Wiele firm hostingowych umożliwia uruchomienie takiego darmowego certyfikatu SSL – poniżej przykładowy DirectAdmin z możliwością aktywacji SSL:
Często klienci pytają: po co płacić za certyfikat, skoro jest za darmo? Warto w tym miejscu zaznaczyć, że:
- darmowy certyfikat jest tylko DV (Domain Validation),
- podczas włamania darmowe certyfikaty nie posiadają żadnej finansowej gwarancji ze strony ich dystrybutora.
Darmowy certyfikat sprawdza się w przypadku małych stron, ale serwisy, które przetwarzają dane klientów (jak e-commerce czy serwisy finansowe) powinny już rozważyć zakup płatnego certyfikatu.
Dlaczego warto wdrożyć certyfikat?
Tak jak wyżej wspomniałem, wszędzie, gdzie przesyłane są jakiekolwiek dane, warto rozważyć wdrożenie certyfikatu SSL. Im tych danych będziemy przesyłali więcej, tym bardziej należy zwrócić uwagę na bezpieczeństwo ich przesyłania. Takim przykładowym serwisem, gdzie koniecznie trzeba wdrożyć SSL, jest sklep internetowy. Przesyłamy tu nie tylko dane klientów, ale często również dane ich środków płatności – koniecznie trzeba zadbać o ich należytą ochronę.
Zalety wdrożenia certyfikatu SSL idealnie oddaje poniższa infografika:
Źródło: https://www.devagroup.pl/blog/certyfikat-sll-czy-powinienem-wdrozyc-szyfrowanie-ssl-a-seo-sem-adwords
SSL a SEO
Bardzo często poruszanym argumentem za wdrożeniem SSLa jest widoczność serwisu w wynikach organicznych Google. Posiadanie szyfrowania jest jednym z wielu czynników rankingowych i wpływa także na SEO. Nie jest to jeden z głównych czynników i po wdrożeniu SSL nie dostrzeżemy znacznego zwiększenia widoczności w Google. Czy to oznacza, że nie warto z tego powodu inwestować w certyfikat SSL? Oczywiście, że warto!
Dlaczego?
- jest to jeden z czynników rankingowych, nawet jeśli nie ma znaczącego wpływu
- większość znaczących się serwisów posiada adresy w https - Google może zacząć podchodzić do adresu http, jako do anomali
- wpływ obecności SSL może zostać w przyszłości zwiększony
- Osobiście jestem zwolennikiem wdrażania SSL’a, zamiast poświęcania czasu na dywagacje o procentowym znaczeniu na pozycje :)
SSL a budowa zaufania
Tak jak wcześniej wspomniałem, coraz więcej stron przechowujących dane klientów posiada certyfikaty SSL. Jest to pewien wyznacznik bezpieczeństwa danych – klienci, widząc serwis pod adresem http:// mogą zrezygnować z wszelkich czynności, które niosą za sobą podawanie swoich danych.
Przesyłanie danych z użyciem stron bez SSL jest traktowane przez użytkowników internetu jako działanie ryzykowne. Może to być powodem zmniejszenia atrakcyjności serwisu na tle konkurencji.
Wdrożenie HTTPS
Sam zakup certyfikatu u dostawcy nie zabezpiecza strony, konieczne jest do tego jego wdrożenie. A zatem, jak wdrożyć certyfikat SSL? Musimy uruchomić go na naszym serwerze. Warto zwrócić tu uwagę na to, czy certyfikat:
- jest uruchomiony zarówno dla wersji www, jak i bez www,
- aktywowany jest również dla subdomen (jeśli mamy takie w serwisie).
Poprawnie wdrożony SSL powinien powodować, że przeglądarka internetowa poinformuje nas o tym po otwarciu strony – z wykorzystaniem tego komunikatu:
Na tym kroku nie należy kończyć analizy poprawności wdrożenia SSL – zwłaszcza w kontekście SEO. O ile w kontekście znaczenia SSL w pozycjonowaniu zdania są podzielone (szczególnie jeśli chodzi o procentowe znaczenie), o tyle sam wpływ złego wdrożenia jest pewny.
Dla stron opartych o CMS Wordpress są także wtyczki, które pomagają we wdrożeniu SSLa – pomaga to w uniknięciu n/w błędów. Jedną z takich wtyczek jest Really Simple SSL, o której pisałem na swoim blogu w artykule Instalacja certyfikatu SSL w WordPress oraz przekierowanie 301 z http na https.
Najczęstsze błędy we wdrożeniu SSL
Omówimy teraz najczęściej występujące błędy wdrożenia w kontekście SEO. Wystrzegaj się ich, jeśli chcesz, by zakup certyfikatu przyniósł zamierzone efekty.
Brak przekierowań
Pierwszym najczęściej występującym błędem jest brak odpowiednich przekierowań 301. Warto tu pamiętać, że dla Google adresy http://domena.pl i https://domena.pl to dwie zupełnie niezależne instancje i nie może pod nimi pojawiać się ten sam serwis internetowy. Mamy wtedy do czynienia z duplikacją wewnętrzną. Przekierowania 301 powinny – poprzez odpowiedni schemat przekierowania – przekierowywać każdy adres w serwisie zaczynający się na http:// .
Ma to działać według schematu:
- http://domena.pl >> 301 >> https://domena.pl
- http://domena.pl/dowolna-podstrona-1/ >> 301 >> https://domena.pl/dowolna-podstrona-1/
- http://domena.pl/dowolna-podstrona-2/ >> 301 >> https://domena.pl/dowolna-podstrona-2/
Wewnętrzne zasoby serwisu
Po wdrożeniu certyfikatu SSL dość często występuje tzw. mixed content. Dlaczego jest to błąd? Aby dane w serwisie były odpowiednio szyfrowane, wszystkie zasoby strony powinny znajdować się pod adresem zaczynającym się od https:// – dotyczy to głównie:
- zasobów graficznych (np. pliki jpg),
- arkuszy stylów (pliki .css),
- skryptów JS.
Podczas tworzenia stron internetowych niejednokrotnie adresy zasobów przypisywane są w postaci bezwzględnej – jako adres:
<a href=”http://domena.pl/plik-zasobu.rozszerzenie”>.
Adresy takie należy odnaleźć oraz zmienić na zaczynające się od https://.
Tag kanoniczny
Podczas optymalizacji serwisu często zaleceniem jest ustawienie tagu kanonicznego – „na siebie samego”. Gdy serwis pojawia się pod adresem http://domena.pl, to przykładowa podstrona powinna mieć tag:
Zdarza się jednak, że po wdrożeniu adresacji https:// tag kanoniczny nadal wskazuje na stary adres:
Podczas wdrożenia certyfikatu należy zwrócić uwagę, czy tag kanoniczny wskazuje na nowy finalny adres podstrony. Adres z https:// zwracający kod 200 powinien być wskazany w tagu kanonicznym.
Mapa strony w formacie XML
Kolejnym miejscem, gdzie należy sprawdzić aktualność adresacji jest mapa strony w formacie XML – najczęściej występująca pod adresem /sitemap.xml .
Warto sprawdzić, czy adresy, które wyświetlamy w mapi, są w adresacji https://.
Usługi Google Search Console
W sytuacji, gdy weryfikujemy dodawaną usługę, mamy do wyboru:
- dodanie całej domeny domena.pl (niezależnie od początku http://, http://www czy też https://) ,
- dodanie konkretnego adresu (np. http://domena.pl).
W przypadku wybrania pierwszej opcji nie musimy nic robić po wdrożeniu SSL’a. Jeśli weryfikowaliśmy konkretny adres serwisu (np. http://domena.pl) - wykres zarówno widoczności, jak i kliknięć będzie wyglądał w podobny sposób:
W DevaGroup wielokrotnie spotkaliśmy się z niepokojem klientów, że po wdrożeniu przez nich SSL’a strona spada w wynikach Google – na podstawie danych z Google Search Console. Sytuacja taka nie oznacza, że serwis zostaje wyindeksowany z Google (często tak interpretują wykres właściciele stron). Wyindeksowywane są adresy zaczynające się od dotychczasowego adresu http://domena.pl.
Należy dodać nową usługę zaczynającą się od aktualnego adresu np. https://domena.pl i dane dt. widoczności i kliknięć zaczną się zbierać na koncie od tego momentu.
Błędy te opisywałem również w artykule Jak poprawnie wdrożyć SSL (https), by nie wpłynęło to negatywnie na SEO.
Sprawdzenie poprawności wdrożenia SSL
Często zadawanym pytaniem przez właścicieli serwisów jest “jak mogę sprawdzić poprawność wdrożenia?”. Podstawowym sposobem jest weryfikacja w/w punktów. Do weryfikacji czy posiadamy mixed content, czy też poprawnie wdrożone są tagi kanoniczne i przekierowania - możemy użyć dowolnego crawlera (np. screaming frog).
To analizy dotyczące głównie czynników wpływających na SEO. Jeśli chodzi o poprawność samego wdrożenia certyfikatu i poprawność jego działania - warto posłużyć się narzędziami do takiej analizy - jednym z przykładowych jest https://www.ssllabs.com/ssltest/. Po przetestowaniu naszego serwisu otrzymujemy ocenę wdrożenia:
Podsumowanie
Obecność certyfikatów dla stron przesyłających dane stała się pewnym standardem. Warto wdrażać SSL z uwagi na bezpieczeństwo danych, jak i budowę zaufania w oczach potencjalnych klientów. Zawsze odradzam podchodzenie do SSL, jako pewnego rodzaju “haku” na Google, które nagle podniesie autorytet strony. Gdy klient dzwoni z taką hipotezą, to od razu nasuwa mi się pytanie, czy rozmawiał właśnie z handlowcem sprzedającym certyfikaty SSL. Mimo, iż samo wdrożenie SSLa nie nie daje tzw “boosta” w SEO – jego wpływ może w przyszłości się zmienić. Google staje pracuje nad bezpieczeństwem, wydajnościami swoich serwerów itd. Warto wdrożyć SSL’a i nie martwić się o negatywny wpływ jego braku w kontekście widoczności.
Kolejnym ważnym argumentem przemawiającym za wdrożeniem certyfikatu SSL jest bezpieczeństwo przesyłanych danych. Nie tylko samo prawdopodobieństwo wycieku tych danych, ale i budowa zaufania w oczach potencjalnych klientów. Większość z nas, gdy stoi przed koniecznością podania swoich danych - zanim tego dokona - upewnia się, czy strona posiada aktywny i ważny certyfikat SSL.