SSL (Secure Sockets Layer) i TLS (Transport Layer Security) to protokoły szyfrowania, które zabezpieczają komunikację między przeglądarką a serwerem. Dzięki nim dane (hasła, numery kart, formularze) idą szyfrowane, a nikt podsłuchujący sieć nie odczyta ich treści. Strona z SSL/TLS ma adres zaczynający się od https:// i kłódkę w pasku przeglądarki. Bez SSL: http:// i wszystko leci jawnym tekstem. W 2026 HTTPS to standard. Google obniża pozycje stron bez SSL, a przeglądarki straszą komunikatem „Niezabezpieczona”.
SSL vs TLS
SSL to starsza wersja protokołu (SSL 2.0 z 1995, SSL 3.0 z 1996). TLS to następca (TLS 1.0 w 1999, TLS 1.2 w 2008, TLS 1.3 w 2018). W praktyce SSL 2.0 i 3.0 są wycofane (podatne na ataki). TLS 1.0 i 1.1 też (od 2020). Aktualny standard to TLS 1.2 (minimum) i TLS 1.3 (zalecany, szybszy i bezpieczniejszy). Mimo że technicznie używamy TLS, wszyscy potocznie mówią „certyfikat SSL”. To przyzwyczajenie z lat 90, nie błąd merytoryczny.
Jak działa szyfrowanie
Wchodzisz na HTTPS, dzieje się TLS handshake (zwykle 50 ms). Przeglądarka łączy się z serwerem i mówi „chcę bezpieczne połączenie” (Client Hello z listą obsługiwanych szyfrów). Serwer odpowiada (Server Hello z wybranym szyfrem) i wysyła certyfikat SSL (klucz publiczny serwera, nazwa domeny, data ważności, kto wystawił). Przeglądarka weryfikuje, czy wystawca (CA, Certificate Authority) jest zaufany, czy domena zgadza się z certyfikatem i czy nic nie wygasło. Jeśli wszystko gra, obie strony uzgadniają klucz sesji do szyfrowania symetrycznego (AES-256). Od tego momentu cała komunikacja jest szyfrowana. Nikt na publicznym WiFi, ISP ani po drodze nie zobaczy treści.
Certyfikat SSL: skąd go wziąć
Certyfikat SSL to cyfrowy dokument potwierdzający tożsamość strony. Wydaje go CA (Let’s Encrypt, DigiCert, Comodo, GlobalSign). W środku siedzi nazwa domeny, klucz publiczny, data ważności, nazwa wystawcy.
Let’s Encrypt. Darmowy, automatyczny, ważny 90 dni z auto-odnawianiem. Wystarcza dla 99% stron. Instalacja na VPS: sudo apt install certbot python3-certbot-nginx && certbot --nginx -d twojadomena.pl. Na shared hostingu klikasz w panelu (cPanel, SSL/TLS, Auto SSL). Na Cloudflare SSL włącza się automatycznie.
Typy certyfikatów.
| Typ | Walidacja | Cena | Dla kogo |
|---|---|---|---|
| DV (Domain Validation) | Tylko domena | Darmowy (Let’s Encrypt) do $20/rok | Większość stron, blogi, firmy |
| OV (Organization Validation) | Domena + firma | $50–200/rok | Firmy chcące mieć nazwę w certyfikacie |
| EV (Extended Validation) | Pełna weryfikacja firmy | $100–500/rok | Banki, e-commerce (zielony pasek został usunięty z przeglądarek w 2019) |
| Wildcard | Domena + wszystkie subdomeny | Darmowy (Let’s Encrypt) do $100+/rok | Wiele subdomen (*.twojadomena.pl) |
Dla większości stron DV od Let’s Encrypt jest absolutnie wystarczające. Google nie rozróżnia typów certyfikatów w rankingu. DV, OV i EV są pod kątem SEO równe.
SSL/TLS a SEO
Google oficjalnie powiedziało w 2014, że HTTPS to czynnik rankingowy. Strony bez SSL idą w dół, a Chrome wyświetla „Niezabezpieczona”, co podbija bounce rate. HTTPS jest też wymagany do HTTP/2 i HTTP/3 (multiplexing, kompresja nagłówków, 0-RTT), Service Workers (PWA, tryb offline), Geolocation API, Camera/Microphone API. W 2026 strona bez HTTPS to anomalia. Każda strona powinna mieć SSL i koniec dyskusji.
Jak sprawdzić certyfikat
W przeglądarce. Kliknij kłódkę obok URL, „Połączenie jest bezpieczne”, „Certyfikat jest prawidłowy”. Zobaczysz, kto wystawił, dla jakiej domeny, datę ważności.
Online. SSL Labs (ssllabs.com/ssltest), wpisujesz domenę, dostajesz raport z oceną od A do F, wersją TLS, listą szyfrów i podatnościami. Celuj w A albo A+.
Terminal. openssl s_client -connect twojadomena.pl:443. Pokaże certyfikat, łańcuch zaufania, wersję TLS.
Najczęstsze problemy
Mixed content. Strona po HTTPS ładuje obrazki albo CSS po HTTP, przeglądarka blokuje albo ostrzega. Rozwiązanie: zmień wszystkie URL-e na HTTPS (albo na // bez protokołu). W WordPressie wtyczka Really Simple SSL automatyzuje to za ciebie.
Wygasły certyfikat. Certyfikat ma datę ważności. Let’s Encrypt ważny jest 90 dni i odnawia się automatycznie przez certbota. Jeśli certbot nie odnowił, przeglądarka wyświetla „Twoje połączenie nie jest prywatne” i blokuje dostęp. Sprawdź certbot renew --dry-run, popraw certbot renew.
Redirect HTTP → HTTPS. Po instalacji SSL przekieruj cały ruch z HTTP na HTTPS przez 301. Nginx: return 301 https://$host$request_uri;. Apache: .htaccess z RewriteRule. Cloudflare: opcja „Always Use HTTPS”, jedno kliknięcie.
Najczęściej zadawane pytania
Czy SSL jest darmowy
Tak. Let’s Encrypt wydaje darmowe certyfikaty DV (w tym wildcardy). Cloudflare automatycznie dorzuca darmowy SSL. Większość hostingów wlicza SSL w cenę. Płatne certyfikaty (OV, EV) dodają weryfikację firmy, ale szyfrują dokładnie tak samo jak darmowe DV.
Czy SSL spowalnia stronę
TLS handshake dodaje 10-50 ms do pierwszego połączenia, niezauważalne. HTTPS odblokowuje za to HTTP/2 i HTTP/3 (multiplexing, kompresja nagłówków, 0-RTT), które wyraźnie przyspieszają. W praktyce strona po HTTPS z HTTP/2 jest szybsza niż HTTP bez HTTP/2. TLS 1.3 ma zoptymalizowany handshake (1-RTT zamiast 2-RTT w TLS 1.2), więc jeszcze szybciej.
Czy muszę mieć SSL na stronie bez formularzy
Tak, nawet na prostej wizytówce. Powody: Google obniża pozycje stron bez HTTPS. Przeglądarki wyświetlają „Niezabezpieczona”. HTTPS chroni integralność strony, bo bez SSL ISP albo atakujący po drodze może wstrzyknąć ci reklamy albo malware do treści. HTTP/2 wymaga HTTPS. Koszt: zero. Naprawdę nie ma sensu rezygnować.
