SSL (Secure Sockets Layer) i TLS (Transport Layer Security) to protokoły szyfrowania, które zabezpieczają komunikację między przeglądarką a serwerem – dzięki nim dane (hasła, numery kart, formularze) są szyfrowane i nikt podsłuchujący sieć nie może ich odczytać. Strona z SSL/TLS ma adres zaczynający się od https:// i ikonę kłódki w pasku przeglądarki. Bez SSL: http:// – dane przesyłane „gołym tekstem”. W 2026 roku HTTPS to standard – Google obniża pozycje stron bez SSL, a przeglądarki wyświetlają ostrzeżenie „Niezabezpieczona”.
SSL vs TLS – jaka różnica
SSL to starsza wersja protokołu (SSL 2.0 – 1995, SSL 3.0 – 1996). TLS to następca SSL (TLS 1.0 – 1999, TLS 1.2 – 2008, TLS 1.3 – 2018). W praktyce: SSL 2.0 i 3.0 są wycofane (podatne na ataki). TLS 1.0 i 1.1 – również wycofane (od 2020). Obecny standard: TLS 1.2 (minimum) i TLS 1.3 (zalecany – szybszy, bezpieczniejszy). Mimo że używamy TLS, potocznie wszyscy mówią „certyfikat SSL” – to przyzwyczajenie, nie techniczna poprawność.
Jak działa szyfrowanie TLS
Gdy wchodzisz na stronę HTTPS, odbywa się TLS handshake (w ~50 ms). Przeglądarka łączy się z serwerem i mówi „chcę bezpieczne połączenie” (Client Hello – lista obsługiwanych szyfrów). Serwer odpowiada (Server Hello – wybrany szyfr) i wysyła certyfikat SSL (zawiera klucz publiczny serwera, nazwę domeny, datę ważności, kto wystawił). Przeglądarka weryfikuje certyfikat: czy wystawca (CA – Certificate Authority) jest zaufany, czy domena się zgadza, czy certyfikat nie wygasł. Jeśli OK – przeglądarka i serwer uzgadniają klucz sesji (szyfrowanie symetryczne – AES-256). Od tego momentu: cała komunikacja jest szyfrowana. Nikt podsłuchujący Wi-Fi, ISP, ani haker w sieci nie widzi treści.
Certyfikat SSL – co to jest i jak go uzyskać
Certyfikat SSL to cyfrowy dokument potwierdzający tożsamość strony – wydany przez CA (Certificate Authority): Let’s Encrypt, DigiCert, Comodo, GlobalSign. Zawiera: nazwę domeny, klucz publiczny, datę ważności, nazwę wystawcy.
Let’s Encrypt – darmowy certyfikat. Automatyczny, darmowy, ważny 90 dni (auto-odnawialny). Wystarczający dla 99% stron. Instalacja na VPS: sudo apt install certbot python3-certbot-nginx && certbot --nginx -d twojadomena.pl. Na shared hostingu: włącz w panelu (cPanel → SSL/TLS → Auto SSL). Na Cloudflare: SSL włącza się automatycznie (darmowe).
Typy certyfikatów:
| Typ | Walidacja | Cena | Dla kogo |
|---|---|---|---|
| DV (Domain Validation) | Tylko domena | Darmowy (Let’s Encrypt) – $20/rok | Większość stron, blogi, firmy |
| OV (Organization Validation) | Domena + firma | $50–200/rok | Firmy chcące wyświetlić nazwę w certyfikacie |
| EV (Extended Validation) | Pełna weryfikacja firmy | $100–500/rok | Banki, e-commerce (wcześniej: zielony pasek – przeglądarki usunęły to w 2019) |
| Wildcard | Domena + wszystkie subdomeny | Darmowy (Let’s Encrypt) – $100+/rok | Wiele subdomen (*.twojadomena.pl) |
Dla większości stron: DV od Let’s Encrypt (darmowy) jest wystarczający. Google nie rozróżnia typów certyfikatów w rankingu – DV = OV = EV pod kątem SEO.
SSL/TLS a SEO
Google oficjalnie potwierdziło w 2014, że HTTPS jest czynnikiem rankingowym. Strony bez SSL: obniżone w wynikach, ostrzeżenie „Niezabezpieczona” w Chrome (odstraszające dla użytkowników – wyższy bounce rate). HTTPS jest wymagany dla: HTTP/2 i HTTP/3 (szybsze ładowanie – wpływ na Core Web Vitals), Service Workers (PWA, offline), Geolocation API, Camera/Microphone API. W 2026: strona bez HTTPS to anomalia – praktycznie każda strona powinna mieć SSL.
Jak sprawdzić certyfikat SSL
W przeglądarce: kliknij kłódkę obok URL → „Połączenie jest bezpieczne” → „Certyfikat jest prawidłowy” → szczegóły: kto wystawił, dla jakiej domeny, data ważności.
Online: SSL Labs (ssllabs.com/ssltest) – wpisz domenę → pełny raport: ocena A–F, wersja TLS, szyfry, podatności. Cel: ocena A lub A+.
Terminal: openssl s_client -connect twojadomena.pl:443 – pokaże certyfikat, łańcuch zaufania, wersję TLS.
Częste problemy z SSL
Mixed content. Strona HTTPS ładuje zasoby (obrazy, CSS, JS) przez HTTP – przeglądarka blokuje je lub wyświetla ostrzeżenie. Rozwiązanie: zmień wszystkie URL-e na HTTPS (lub użyj // zamiast http://). WordPress: wtyczka Really Simple SSL automatycznie naprawia.
Wygasły certyfikat. Certyfikat ma datę ważności – Let’s Encrypt: 90 dni (auto-odnawialny przez certbot). Jeśli certbot nie odnowił: przeglądarka wyświetla „Twoje połączenie nie jest prywatne” i blokuje dostęp. Sprawdź: certbot renew --dry-run. Napraw: certbot renew.
Redirect HTTP → HTTPS. Po instalacji SSL: przekieruj cały ruch z HTTP na HTTPS (301 redirect). Nginx: return 301 https://$host$request_uri; Apache: .htaccess z RewriteRule. Cloudflare: „Always Use HTTPS” – jedno kliknięcie.
Najczęściej zadawane pytania
Czy SSL jest darmowy?
Tak – Let’s Encrypt wydaje darmowe certyfikaty DV (w tym Wildcard). Cloudflare automatycznie dodaje darmowy SSL. Większość hostingów wlicza darmowy SSL w cenę pakietu. Płatne certyfikaty (OV, EV): dodają weryfikację firmy, ale technicznie szyfrują tak samo jak darmowe DV.
Czy SSL spowalnia stronę?
TLS handshake dodaje ~10–50 ms do pierwszego połączenia – niezauważalne. Ale: HTTPS umożliwia HTTP/2 i HTTP/3 (multiplexing, kompresja nagłówków, 0-RTT), które przyspieszają stronę. W praktyce: strona HTTPS z HTTP/2 jest szybsza niż strona HTTP bez HTTP/2. TLS 1.3 ma zoptymalizowany handshake (1-RTT zamiast 2-RTT w TLS 1.2) – jeszcze szybszy.
Czy muszę mieć SSL na stronie bez formularzy?
Tak – nawet na prostej stronie wizytówkowej bez formularzy. Powody: Google obniża pozycje stron bez HTTPS, przeglądarka wyświetla „Niezabezpieczona” (odstraszające), HTTPS chroni integralność strony (bez SSL: ISP lub haker może wstrzyknąć reklamy/malware do Twojej strony), HTTP/2 wymaga HTTPS. Koszt: zero (Let’s Encrypt). Nie ma powodu, żeby NIE mieć SSL.
