Połączenie nie jest bezpieczne

Kiedy połączenie nie jest bezpieczne? Czy potrzebuję certyfikat SSL?


Strony WWW coraz częściej korzystają z certyfikatu SSL. Serwis, który posiada ten certyfikat, najłatwiej rozpoznasz po tym, że jej adres rozpoczyna się od https://, a nie od http://. Jeśli jednak przy wdrożeniu certyfikatu zostały popełniono błędy, to przeglądarka internetowa może wyświetlać komunikat o niezaufanym lub niebezpiecznym połączeniu.

Certyfikat SSL – co to jest?

Secure Sockets Layer, czyli w skrócie SSL, to protokół szyfrujący połączenie pomiędzy użytkownikiem a witryną. Stanowi on gwarancję poufności danych, ale jednocześnie jest potwierdzeniem wiarygodności domeny i jej właściciela.

Z punktu widzenia użytkownika jeżeli strona posiada certyfikat SSL, stanowi informację, że strona jest bezpieczna. Klient, który wejdzie na serwis WWW oznaczony jako niezabezpieczony albo otrzyma informację o tym, że połączenie nie jest bezpieczne, z pewnością nie założy konta, a tym bardziej nie dokona tam zakupu. Przeglądarki internetowe informują użytkowników o tym, że dana strona nie posiada certyfikatu SSL.

Jak przeglądarki informują o braku Certyfikatu SSL?

W przypadku Chrome, czyli najpopularniejszej tego typu aplikacji na świecie, po otwarciu strony, która nie zapewnia bezpiecznego połączenia, zobaczysz następujący komunikat:

Więcej informacji znajdziesz po kliknięciu ikonki znajdującej się obok słowa „Niezabezpieczona”:

Twoje połączenie z tą witryną nie jest bezpieczne

Po otwarciu dokładnie tej samej strony w przeglądarce Firefox zobaczysz następujące oznaczenie:

Natomiast po kliknięciu tej samej ikonki, co w przypadku przeglądarki Chrome, również dowiesz się, że połączenie nie jest bezpieczne:

Połączenie nie jest bezpieczne

Dwie wspomniane przeglądarki mają największy udział w rynku tych aplikacji. Jak podaje Net Applications, w pierwszym kwartale 2019 roku Google Chrome osiągnęło na świecie 66,89% udziału w rynku, natomiast Mozilla Firefox – 9,39%.

Połączenie nie jest bezpieczne bez Certyfikatu SSL

Jeśli nie zakupiłeś certyfikatu SSL, to twoi użytkownicy zobaczą komunikat o tym, że ich połączenie z twoją witryną nie jest bezpieczne. O ile być może nie opuszczą oni strony, jeśli tylko chcą zapoznać się z jej treścią, o tyle trudno oczekiwać, że dokonają na niej zakupów i pozostawią swoje dane.

Certyfikat SSL jest standardem w przypadku serwisów WWW banków czy stron rządowych. Co ciekawe, wcale nie wszystkie sklepy internetowe korzystają z https://. Zgodnie z wynikami badania „Koszyk Roku 2018” tego zabezpieczenia używa 94 proc. sklepów. Czy pozostałe 6 proc. mimo wszystko ma klientów? Na pewno w dalszym ciągu część użytkowników nie jest świadoma zagrożenia wynikającego z podawania swoich danych na niezabezpieczonych stronach i być może robią zakupy na takich witrynach.

Dlaczego powinieneś wdrożyć certyfikat SSL na swojej stronie?

Przyczyn można wskazać wiele:

  • czynnik rankingowy Google – wprawdzie to jeden z wielu czynników, które według Google są czynnikami rankingowymi, ale mimo wszystko warto, żebyś wdrożył na swojej stronie WWW bezpieczne połączenie,
  • konwersja – informacja o tym, że połączenie nie jest bezpieczne, skutecznie zniechęci do dokonywania w sklepie jakichkolwiek zakupów zarówno świadomego, jak i nieświadomego użytkownika zainteresowanego twoją ofertą,
  • SSL konieczne dla AMP – jeśli zamierzasz wdrożyć AMP, czyli przyśpieszone strony mobilne, to twój serwis musi korzystać z bezpiecznego połączenia,
  • wizerunek – instalując SSL na twojej stronie, pokazujesz użytkownikom, że dbasz o bezpieczeństwo ich danych.

Certyfikat SSL – ile to kosztuje?

Ceny certyfikatów SSL zależne są od poziomu walidacji. Trzy podstawowe poziomy to:

  •       DV – Domain Validation. W tym przypadku weryfikacji podlega jedynie domena, a sama walidacja przeprowadzana jest automatycznie. Obejmuje ona dane zebrane w systemie DNS dla domeny danego serwera oraz danego podmiotu. Certyfikat zawiera dane domeny – bez informacji o podmiocie, do którego ta domena należy. Ten rodzaj certyfikatu jest najtańszy i najszybszy do zdobycia, ale nie pozwala użytkownikowi sprawdzić, kim jest wydawca strony,
  •       OV – Full Organization Validation. W tym przypadku centrum weryfikacyjne weryfikuje dane właściciela. W certyfikacie znajdują się dane domeny, podmiotu i potwierdzenie tego, która firma jest właścicielem strony,
  •       EV – Extended Validation. EV to poszerzona walidacja – składa się z trzech stopni weryfikacji. Czas jego przyznania trwa do 10 dni, a weryfikowane są dane rejestrowe firmy, umowa spółki, ale również prawo do posługiwania się daną domeną. Ten rodzaj certyfikatu wybierają banki, duże firmy i sklepy internetowe.

Połączenie nie jest bezpieczne – jak to wyłączyć?

Jak wspominamy, sama instalacja SSL to nie wszystko – certyfikat należy zainstalować poprawnie. Jeśli będzie inaczej, użytkownik otrzyma informację, że połączenie nie jest bezpieczne. Właściciel witryny niepoprawnie ją skonfigurował. W takich przypadkach użytkownik może dodać wyjątek i korzystać z witryny, ale zdecydowana większość z  natychmiast opuści taką stronę. Tego rodzaju komunikat może spowodować, że w zasadzie wyzerowany zostanie poziom konwersji – na takiej stronie nikt nie podejmie zakupów. Jeśli problem dotyczy twojej strony, to musisz jak najszybciej rozwiązać problem. Pamiętaj, że niepoprawnie wdrożony certyfikat może być ułatwieniem dla przeprowadzenia ataku hakerskiego.

Żeby sprawdzić, czy certyfikat SSL został zainstalowany prawidłowo, możesz skorzystać z narzędzi, które dostępne są w sieci za darmo. Jednym z nich jest SSL Checker, który znajdziesz pod adresem – https://www.sslshopper.com/ssl-checker.html. Podaj adres swojej strony, po czym otrzymasz raport. W przypadku naszej witryny wygląda on następująco:

Czy certyfikat SSL jest poprawnie zainstalowany

Jak widzisz, z raportu dowiesz się m.in., kiedy certyfikat wygasa. Oczywiście po jego wygaśnięciu Twoja strona nie będzie już zapewniać bezpiecznego połączenia. Najczęściej jednak pojawia się problemy innego typu. Warto przeanalizować raport i na jego podstawie wyeliminować błędy. Przykładowe przyczyny błędów związanych z wdrożeniem SSL to:

  • certyfikat wygenerowany dla innej domeny (komunikaty: Połączenie nie jest prywatne, NET::ERR_CERT_AUTHORITY_INVALID),
  • błędna data i godzina – np. jeśli na twoim komputerze ustawiona jest późniejsza data niż data wygaśnięcia certyfikatu SSL (komunikat: NET::ERR_CERT_DATE_INVALID),
  • błędnie ustawiony lub nieaktualny kod bezpieczeństwa (Strona internetowa jest niedostępna, ERR_SSL_VERSION_OR_CIPHER_MISMATCH).

Połączenie nie jest bezpieczne – nie dopuszczaj do tego

Użytkownik twojej strony nie powinien zobaczyć po otwarciu twojej witryny informacji o tym, że połączenie nie jest bezpieczne. Jeśli prowadzisz sklep internetowy czy po prostu  użytkownicy pozostawiają na stronie swoje dane. Pamiętaj, że 80 proc. użytkowników uważa, że mała zielona kłódka oraz słowo „Bezpieczna” oznacza, że mogą bezpiecznie korzystać z danej strony.