Dla wielu osób z branży e-commerce certyfikat SSL w sklepie internetowym jest tematem oczywistym i totalnie banalnym, ale czy aby na pewno? Sam muszę się przyznać do błędu, gdy zarządzałem sklepem internetowym jednej z sieci retailowych, a gdzie zapomniałem o jego przedłużeniu. Oczywiście powinien o tym pamiętać przede wszystkim dział IT lub agencja, która projekt obsługiwała, ale akurat również sobie o tym zapomnieli, a jakie to wywołało skutki podzielę się w tym wpisie.
Po tej mojej nauczce dla każdego certyfikatu SSL mam w tej chwili ustawione roczne lub dwuletnie przypomnienie w moim Nozbe z którego korzystam do organizacji codziennej pracy.
Sugeruję więc z góry kupić certyfikat na najdłuższy możliwy termin, aby mieć problem z głowy każdego roku. Zwłaszcza jeśli kupujecie bardziej zaawansowany certyfikat, który wymaga dodatkowych weryfikacji, które zajmują dodatkowy czas, a w końcu czas to pieniądz 🙂
1. Co to jest certyfikat SSL?
Certyfikaty SSL są narzędziem zapewniającym ochronę i bezpieczeństwo strony internetowej poprzez jego przypisanie do konkretnej domeny, a także są gwarantem zachowania poufności danych przesyłanych drogą elektroniczną. Pełne bezpieczeństwo jest efektem zastosowania szyfrowania komunikacji pomiędzy komputerami.
Certyfikaty SSL rejestrowane są zawsze na określoną nazwę domeny, zawierają informacje o właścicielu domeny, jego adresie itp. Dane te są zabezpieczone kryptograficznie i nie można ich samodzielnie zmienić.
2. Jakie korzyści daje certyfikat SSL w e-sklepie i nie tylko?
Nadal nie wszyscy posiadacze stron WWW czy niewielkich sklepów internetowych lub blogów decydują się na zastosowanie tego rozwiązania, a jak to negatywnie wpływa na widoczność w wyszukiwarce w Google czyli SEO (Search Engine Optimization) nie muszę już chyba tłumaczyć co bezpośrednio wynika z polityki Google, która znacznie bardziej promuje strony i e-sklepy z certyfikatem SSL. W skrócie takie adresy WWW są lepiej widoczne czyli są umieszczane wyżej w wynikach wyszukiwania w Google.
Google chrome
Na początku roku 2017 Google Chrome czyli najpopularniejsza przeglądarka internetowa wprowadziła zmiany – dlatego strony nieposiadające certyfikatu SSL, na których wymagane jest wpisanie hasła lub danych z karty kredytowej, otrzymują od razu status strony niebezpiecznej.
Pokazuje to jeszcze dobitnej potrzebę posiadania certyfikatu SSL, który jest po prostu w tej chwili must have nawet dla małej strony WWW, którą prowadzisz hobbistycznie, bo będzie to negatywnie wpływało na jej pozycjonowanie w wyszukiwarce Google jeśli takiego certyfikatu nie będziesz posiadać.
3. Jaki certyfikat SSL wybrać i jakie są rodzaje?
Na wybór certyfikatu SSL wpływ mają:
- długość procesu weryfikacji podmiotu wnioskującego o wydanie certyfikatu (Twojej firmy),
- cena wybranego certyfikatu SSL,
- ilość adresów WWW jakie mają być objęte szyfrowaniem SSL (zazwyczaj jeden certyfikat umożliwia szyfrowanie danych dla jednej domeny, natomiast certyfikat typu Wildcard pozwala chronić dowolną liczbę subdomen w twojej domenie),
- sposób prezentacji informacji o certyfikacie SSL w przeglądarce. Jeśli wykupisz certyfikat EV, w pasku adresu przeglądarki pojawi się zielony kolor (mówiący użytkownikowi o nawiązaniu bezpiecznego połączenia).
Wariant nr 1 – poziom uwierzytelnienia
Jest to poziom weryfikacji i uwierzytelniania firmy. Istnieje kilka klas certyfikatów SSL, które opisane są poniżej.
- Domain Validation (DV) – gwarantuje dobry poziom zabezpieczeń. Jest to najprostsza i najpopularniejsza forma zabezpieczenia domeny. Przy wydawaniu certyfikatu weryfikacji poddawana jest wyłącznie zgłaszana domena. Sprawdzane jest tylko to czy pod adresem domeny jest faktycznie opublikowana strona www, natomiast nie poddaje się weryfikacji danych firmy. Tego rodzaju certyfikat można nabyć już za kilkadziesiąt złotych. Jest to idealny certyfikat np. pod początkujący sklep internetowy lub bloga, w moim przypadku właśnie taki certyfikat stosuje.
- Organization Validation (OV) – gwarantuje wysoki poziom zabezpieczeń. Podczas wydawania certyfikatu weryfikacji poddawana jest już nie tylko sama domena, ale także firma wnioskująca. Przy sprawdzaniu firma bądź osoba ubiegająca się o certyfikat OV może zostać poproszona o wyciąg z KRS-u, a sama firma może być dodatkowo zweryfikowana mailowo lub telefonicznie poprzez sprawdzenie czy telefon, który jest na stronie tej domeny dotyczy danej firmy czy nie. Charakterystyczna dla tego rodzaju certyfikacji jest pojawiająca się nazwa firmy po kliknięciu na pieczęć bezpieczeństwa (z reguły w postaci symbolu kłódki). Natomiast certyfikaty rekomenduję średnim sklepom internetowym. Są dostępne są już od kilkuset złotych.
- Extended Validation (EV) – gwarantuje wysoki poziom zabezpieczeń. Jego posiadanie to jasny przekaz dla użytkowników, że strona ma najsilniejszą weryfikację tożsamości jaka jest mmożliwa. Przejawia się to widoczną nazwą firmy i zielonym oznaczeniem w pasku z adresem URL domeny co zwiększa zaufanie użytkowników. Przy wydaniu certyfikatu EV zarówno strona, jak i firma poddawane są szczegółowej weryfikacji. Firma bądź osoba wnioskująca jest sprawdzana pod kątem: faktycznej obecności fizycznej, statusu prawnego, realnego prowadzenia działalności, zgodności z danymi urzędowymi. Certyfikat jest dedykowany szczególnie dla dużych firm np. dużych sklepów internetowych oraz banków. Dostępne są od kilkuset lub kilku tysięcy złotych.
Wariant nr 2 – ilość domen
Określa ile domen ma obejmować wybrany certyfikat np. czy ma być to jedna domena, kilka domen.
- SAN – jest to podstawowe zabezpieczenie stosowane dla wielu adresów. Wówczas ochroną może objąć również alternatywne nazwy, czyli i www.najlepszastrona.com.pl, i najlepszastrona.com.pl.
- UCC – to zabezpieczenie kilku domen. Umożliwia zabezpieczenie kilku różnych domen tym samym certyfikatem. W praktyce więc można ochronić strony o różnych nazwach.
- Wildcard – pozwala na zabezpieczenie jednym certyfikatem w ramach jednej domeny, także wszystkie subdomeny. W praktyce zastosowanie certyfikatu polega na tym, że Wildcard pozwala zabezpieczyć domenę główną ekomersiak.pl np. ekomersiak.pl, ale także subodmeny: sklep.ekomersiak.pl, pliki.ekomersiak.pl
4. Jaki certyfikat SSL wybrać dla swojego e-sklepu?
Odpowiedź, która się nasuwa w takich przypadkach to ZALEŻY. Osobiście w większości znajomym czy klientom rekomenduję certyfikaty typu OV + Wildcard czyli pakiet już nieco bardziej zaawansowany, ale są to najczęściej już podmioty, które mają co najmniej średni sklep internetowy lub biznes internetowy.
Natomiast zaczynając dopiero swoją przygodę z własnym sklepem internetowym zacząłbym od bazowego czyli DV, a jeśli chodzi o wybór pod kątem ilości domen jakie chcesz, aby certyfikat dotyczył musisz wziąć pod uwagę specyfikę konstrukcji twojego sklepu jeśli na przykład masz wszystkie pliki graficzne na subdomenie typu files.nazwasklepu.pl to zdecydowanie powinieneś wziąć wildcard, jeśli nie to wystarczy ci bazowy SAN.
Jakie certyfikaty SSL rekomenduję dla sklepów internetowych:
Małe sklepy internetowe – dla podmiotów, które dopiero planują uruchomić lub uruchomiły własny sklep internetowy rekomenduję najprostszy Certyfikat DV + Wildcard o ile potrzebne nam są subdomeny lub planujemy z nich korzystać w przyszłości.
Średnie sklepy internetowe – e-sklepy, które generują już większe obroty np. od 0,3 mln do 1 mln zł miesięcznie. Rekomendacja certyfikat typu OV + Wildcard.
Duże sklepy internetowe – dla sklepów internetowych, które generują powyżej 1 mln zł miesięcznie. Rekomendacja to zdecydowanie certyfikat EV + Wildcard.
5. Czym jest gwarancja dla certyfikatów SSL?
Gwarancja jest Twoim ubezpieczeniem. Jeśli doszłoby do złamania szyfru certyfikacji SSL, organizacja, która go wydała jest zobowiązana do wypłacenia odszkodowania. Jego wysokość określa kwota gwarancji. W zależności od rodzaju certyfikatu ta kwota może być zupełnie inna. Na przykład dla certyfikatu DV kwota gwarancji może wynieść 10 000 $, a dla certyfikatu EV już 1 500 0000 $.
6. Jakie błędy popełniłem z certyfikatem SSL?
Jak już wspomniałem w rozwinięciu dla tego wpisu sam miałem niezłe przygody z SSL. Zwłaszcza jedna była kosztowna, oczywiście nie miałem obowiązku robić tego za klienta lub dział IT, ale czułem się do tego zobowiązany, więc biorę to na siebie.
Najpierw zakupiłem i wygenerowałem certyfikat SSL dla mojego klienta typu OV + Wildcard w GeoTrust w 2017 roku. Rok później od jego wygenerowania nagle przestał działać sklep internetowy klienta (pliki źródłowe w szczególności graficzne znajdowały się na https://files.nazwasklepu.pl, a w momencie utraty certyfikatu SSL odwoływały się one do http://files.nazwasklepu.pl), co powodowało brak wyświetlania wszystkich grafik na stronie.
Na szczęście zauważyłem to praktycznie natychmiast około 6 rano, więc rozpoczęła się operacja zakupu i wygenerowania nowego certyfikatu co przy certyfikacji GeoTrust wymaga weryfikacji telefonicznej i spójności danych, a okazało się, że i z tym był problem, bo domyślnie do weryfikacji jest to wysyłane na jeden z domyślnych maili, które mają firmy w działach IT np. [email protected], [email protected], który w tym przypadku w ogóle nie istniał.
Jednak kilkakrotny kontakt telefoniczny z centralną GeoTrust Europe pozwolił na załatwienie tego w kilka godzin, gdzie normalnie trwa to znacznie dłużej. Oczywiście przez ten czas Google uznawał ten sklep internetowy klienta za stronę niebezpieczną. Jak to wpłynęło negatywnie na sprzedaż nawet nie chce wspominać. Do momentu jego przywrócenia co udało się około godz. 10:00 sklep internetowy stracił w przychodach dobre kilka tysięcy złotych.
Dlaczego o tym też tutaj piszę przyznając się do błędu? Bo cała nasza nauka i doświadczenie jakie mamy wypływa z naszych błędów, które każdy z nas kiedyś popełnił i na nich się najwięcej uczy zwłaszcza widząc konkretne konsekwencje. Można oczywiście przeczytać dużo książek co regularnie sam czynię, ale niestety praktyki i nauki na własnych błędach nic nie zastąpi! Wiem, że tego błędu już nigdy więcej nie popełnił.
Tego rodzaju sytuację potrafią być dość powszechne zarówno w małych, średnich jak i dużych sklepach internetowych. Gdzie wystarczy, że dział IT lub osoba za to odpowiedzialna zapomni o tym i mamy problem.
7. Certyfikaty SSL jakich marek rekomenduję?
Poniżej przykładowe marki, które uważam, że warto rozważyć pod własny sklep internetowy lub stronę WWW.
8. Podsumowanie
Kupując certyfikat dla swojej domeny zwróć uwagę, aby:
- Wybrać wariant na najdłuższy możliwy okres czasu po to, aby mieć problem rozwiązany co roku i zaoszczędzić czas na ponowne weryfikację itd.
- Pamiętać o tym, aby kupić swój certyfikat SSL odpowiednio wcześniej najlepiej minimum dwa tygodnie przed jego wygaśnięciem, bo mail przypominający może nie wystarczyć albo można go łatwo przeoczyć, co wielokrotnie miało już miejsce w działach IT z którymi współpracowałem i padały przez to dużo sklepy internetowe.
- I na koniec obowiązkowo ustaw sobie przypomnienie w swoim kalendarzu Google lub innym narzędziu z którego korzystasz, abyś o tym nigdy nie zapomniał.
Zobacz także inne wpisy w kategoriach: Platformy e-commerce | Marketing internetowy | Pozycjonowanie sklepu internetowego | UX | Content marketing | Analityka internetowa