Jak aktywować certyfikat SSL i jak zmienić adres strony na https://?

Kwestia bezpieczeństwa w internecie z roku na rok traktowana jest coraz poważniej. Najnowsze zmiany w przeglądarkach internetowych spowodują, że użytkownik będzie wiedział, czy Twoja strona jest bezpieczna. Dzięki aktywacji Certyfikatu SSL zadbasz o prywatność Twoich gości. W tym poradniku tłumaczymy krok po kroku, jak zmienić adres strony z http:// na https:// i aktywować certyfikat SSL.

W ciągu kilku dni użytkownicy Google Chrome (i wkrótce również Firefoxa) będą otrzymywali informacje, czy strony www, z których korzystają są bezpieczne, czyli czy korzystają z certyfikatów SSL. Jeśli pozyskujesz klientów przez stronę internetową lub prowadzisz sklep internetowy altywacja tego certyfikatu powinna być dla Ciebie priorytetem. Ale czym jest SSL? Ile kosztuje? Jak go wdrożyć?

Zajęliśmy się tym tematem i przygotowaliśmy bardzo szczegółowy wpis, który pomoże Ci zabezpieczyć Twoją stronę internetową. W tym mini-poradniku znajdziesz dwa sposoby na aktywację SSL, listę usług dostawców serwerów z informacją nt. oferowanych certyfikatów oraz wskazówki dotyczące certyfikatów.

Czym jest certyfikat SSL?

Najprościej mówiąc Certyfikat SSL to protokół, który odpowiada za bezpieczne przesyłanie danych użytkowników, którzy odwiedzają Twoją stronę internetową. SSL odpowiada za szyfrowanie takich danych i ich integralność. Jeśli w  przeglądarce, z której korzystasz, po wpisaniu adresu pojawia się przedrostek https://, a w oknie przeglądarki dodatkowo widnieje zielona kłódka lub cały adres zaznaczony jest na zielono oznacza to, że strona korzysta z certyfikatu SSL.

Samo https:// nie oznacza, że strona gwarantuje szyfrowanie przesyłanych danych. Musi być zielono.

Gdzie możesz znaleźć przykład zastosowania SSL? Wejdź na stronę Twojego banku. Te instytucje, ze względów bezpieczeństwa, jako jedne z pierwszych już kilka lat temu wdrożyły SSL. Pamiętam dzień, w którym po raz pierwszy zobaczyłem kłódkę w pasku przy adresie mojego banku.

Żeby było jasne: wiemy, że naszego bloga czytają osoby o rożnej znajomości internetu. Bardzo się z tego cieszymy, ale sprawia to też, że czujemy się odpowiedzialni za tych, którzy mniej swobodnie poruszają się w sieci. Dlatego uczulam: to, że strona ma Certyfikat SSL nie oznacza, że na takich stronach możesz korzystać z pseudo-haseł w stylu 1234. Zawsze i wszędzie w internecie dbaj o swoje bezpieczeństwo i prywatność.

Czy muszę wdrożyć SSL na swojej stronie i blogu?

Nie masz obowiązku wdrażania certyfikatu SSL na stronie internetowej firmy czy blogu. Certyfikat SSL musisz posiadać, jeśli prowadzisz sklep internetowy. Muszą go mieć rownież m.in. wspomniane wyżej banki, a także strony urzędów i administracji publicznej.

Dlaczego warto wdrożyć SSL na swojej stronie www?

  1. SSL pozytywnie wpływa na pozycjonowanie Twojej strony – już w 2014 roku na różnych blogach branżowych pojawił się pierwsze informacje, że strony z zainstalowanym certyfikatem SSL będą premiowane w wynikach wyszukiwania. Jeśli zależy Ci na dobrym rozwoju Twojego serwisu, aktywacja Certyfikatu SSL powinna być dla Ciebie naturalnym krokiem.
  2. SSL pomaga dbać o bezpieczeństwo danych przesyłanych przez Twoja stronę.
  3. Posiadanie SSL jest / będzie widoczne w przeglądarkach internetowych – twórcy przeglądarek internetowych podchodzą do zagadnień bezpieczeństwa z coraz większą rozwagą. Dlatego już w lipcu 2018 roku przeglądarki Chrome, a następnie Firefox, będą informowały, czy strona, którą odwiedzasz jest bezpieczna, a to może wpłynąć na zaufanie Twoich gości.

Mam nadzieję, że przekonałem Cię, że warto posiadać Certyfikat SSL. Zabierajmy się do roboty. Na początek pytanie: Czy masz certyfikat SSL?

Skąd wziąć certyfikat SSL?

Certyfikat SSL zwykle jest oferowany przez dostawcę Twojego hostingu. Firmy hostingowe oferują SSL w cenie pakietu lub dają go za darmo na określony czas. Są jednak jeszcze i takie firmy, w których jedyną opcją jest zakup certyfikatu SSL. W związku ze zmianami wprowadzonymi przez Google coraz większa liczba dostawców proponuje darmowe certyfikaty. Jeśli nie jesteś pewien, jak to jest u Ciebie, sprawdź poniższą listę.

Etap 1: Aktywacja darmowego SSL na serwerze:

Poniżej znajdziesz aktualną na dzień 2 lipca 2018 listę dostawców usług hostingowych wraz z informacją o oferowanym darmowym Certyfikacie SSL (lub jego braku) oraz odnośnikiem do instrukcji uruchomienia SSL na serwerze.

Hekko.pl – darmowy certyfikat SSL w cenie hostingu dla każdego pakietu Optimum i droższego – instrukcja aktywacji

OVH.pl – darmowy certyfikat SSL dostępny w każdym pakiecie – instrukcja aktywacji – brak instrukcji, SSL dodaje się w ustawieniach domeny.

Linuxpl.com – darmowy certyfikat w cenie hostingu dla każdego pakietu W2G  i droższego – instrukcja aktywacji

Jdm.pl – darmowy certyfikat SSL dostępny w każdym pakiecie – jdm.pl pomaga w aktywacji, należy napisać maila na adres: bok@jdm.pl

Zenbox – darmowy certyfikat SSL dostępny w każdym pakiecie – instrukcja aktywacji

dhosting.pl – darmowy certyfikat SSL dostępny w cenie serwera – certyfikat jest aktywowany automatycznie dla każdej domeny – więcej informacji

Smarthost – darmowy certyfikat SSL dostępny w każdym pakiecie – certyfikat jest aktywowany automatycznie dla każdej domeny

Kei.pl –  darmowy certyfikat SSL dostępny w każdym pakiecie – instrukcja aktywacji

Nazwa.pl – brak możliwości instalacji darmowego SSL, certyfikat nazwaSSL dostępny od 0,99 zł netto / mies. – instrukcja aktywacji

az.pl – brak możliwości instalacji darmowego SSL, certyfikat SSL SMART dostępny od 11 zł netto / rok – instrukcja aktywacji

Kylos.pl – darmowy certyfikat SSL dostępny w każdym pakiecie – instrukcja aktywacji

LH.pl – bezpłatny certyfikat przez pierwszy rok, kolejny rok to koszt 99 zł netto – instrukcja aktywacji

Home.pl – 148,83 zł za 2 lata – oczywiście home.pl kusi promocją SSL za 1 zł za pierwszy rok. Jak zwykle gorąco odradzam korzystanie z tego dostawcy, bo oferowana promocja jest po prostu nieopłacalna, co jasno widać w powyższym zestawieniu.

Jeśli wykonałeś wszystkie kroki według instrukcji, ale nie jesteś pewien, czy Certyfikat został aktywowany, możesz sprawdzić jego stan np. na stronie SSL Checker.

Uruchomienie certyfikatu SSL na serwerze to nie wszystko. Kolejnym krokiem jest prawidłowa konfiguracja Twojej strony na WordPressie. Proces wcale nie jest trudny, w zależności od metody, którą wybierzesz zajmie Ci od 10 do 30 minut.

Etap 2: Wdrożenie SSL w WordPress:

Wybierz metodę, którą chcesz użyć.

Chcę użyć najprostszej metody – aktywacja SSL przez wtyczkę >>

Szybka i prosta metoda polegająca na instalacji wtyczki. Nie jest przez nas zalecana, ponieważ każda dodatkowa wtyczka wpływa na wydajność Twojej strony www. Więcej wtyczek to też większa podatność na zagrożenia i potrzeba dokonywania dodatkowych aktualizacji.

Chcę wdrożyć SSL edytując bazę danych (zalecane) >>

Ta metoda jest odrobinę trudniejsza, ale dzięki niej wykonasz przekierowanie raz, a dobrze. Korzystając z niej musisz wykonać trochę więcej pracy, ale warto.

Boję się, że coś zepsuję, czy możecie to zrobić za mnie?

Jasne. Napisz maila na andrzej@bravenew.pl lub skorzystaj z formularza na stronie Kontakt. Odezwiemy się do Ciebie i prześlemy informację na temat kosztów.

Aktywacja SSL przez wtyczkę

Krok 1: Zaloguj się do Kokpitu administracyjnego, a następnie przejdź do Wtyczki – Dodaj nową (Plugins – Add new w angielskiej wersji WP) i w oknie wyszukiwarki wpisz Really Simple SSL. Jeśli proponowane wtyczki nie wyświetliły się automatycznie, kliknij Szukaj.

Krok 2: Znajdź wtyczkę na liście. Kliknij Zainstaluj. Poczekaj aż wtyczka zostanie zainstalowana. Następnie kliknij Włącz.

Krok 3: Zostaniesz przeniesiony do listy wtyczek. Nad nimi powinieneś zobaczyć komunikat z niebieskim przyciskiem: Go ahead, activate SSL! Kliknij go. Jeśli nie widzisz komunikatu znajdź wtyczkę Real Simple SSL na liście wtyczek i kliknij link Ustawienia (Settings). Zostaniesz przeniesiony do ustawień wtyczki.

Krok 4: Sprawdź, czy w ustawieniach wtyczki pole Auto replace mixet content zostało zaznaczone. Jeśli nie, zaznacz je i zapisz zmiany. To ustawienie pozwoli automatycznie zaktualizować link np. do obrazów, które wcześniej

Krok 5: Przejdź do głównej zakładki Ustawienia w menu po lewej stronie, a następnie wybierz Ogólne. Sprawdź, czy adres WordPressa i adres witryny posiadają przedrostek https://. Jeśli nie wprowadź zmiany w obu adresach. Kliknij Zapisz zmiany.

Od teraz Twoja strona jest prawidłowo zabezpieczona Certyfikatem SSL. Ale czy to wszystko? Jak możesz zauważyć na powyższym screenie, Really Simple SSL podpowiada, żeby zmienić kilka innych ustawień. Przejdź do ostatniej sekcji poradnika.

Krok Błąd:  Coś nie działa, nie mam zielonej kłódki.

Wtyczki mają to do siebie, że czasami po prostu nie działają, np. wchodzą w konflikt z inną wtyczką, co powoduje, że nie jesteśmy w stanie wprowadzić zmian. Really Simple SSL nie jest wyjątkiem.

Jeśli otrzymasz informację o błędzie sprawdź, czy Certyfikat SSL jest prawidłowo skonfigurowany. Jeśli tak, prawdopodobnie korzystasz z przestarzałych wtyczek lub motywów albo strona może zawierać dużą tzw. mixed content, czyli treści z domen, które nie posiadają zabezpieczeń i certyfikatów. Jeśli napotkasz tego typu błędy skontaktuj się z dostawcą serwera lub napisz do mnie, pomożemy rozwiązać problem.

Aktywacja SSL przez zmianę linków

Krok 1: Zaloguj się do Kokpitu administracyjnego, a następnie przejdź do Ustawienia -> Ogólne i zmień adres WordPressa (URL) i Adres witryny (URL) z http:// na https://, a następnie zapisz zmiany.

Krok 2: Przejdź do zakładki Ustawienia – Bezpośrednie odnośniki i sprawdź, czy zmiany zostały wprowadzone również w tym miejscu.

Krok 3: Po wykonaniu tych dwóch kroków może się wydawać, że Twoja strona jest już bezpieczna, bo na zapleczu WordPressa świeci się zielona kłódka. Jeśli jednak otworzysz stronę główną możesz zauważyć, że strona – mimo przedrostka https:// – nie jest bezpieczna. Dzieje się tak gdyż na Twojej stronie mogą znajdować się filmy, obrazy czy skrypty, które nie korzystają z bezpiecznego połączenia. Mamy wtedy do czynienia z tzw. mixed content – czyli z jednej strony Twój serwis jest zabezpieczony Certyfikatem SSL, ale znajdują się na nim treści niezabezpieczone, więc Certyfikat nie może być włączony. Jak sobie z tym poradzić?

Krok 4: Przejdź do zakładki Wtyczki – Dodaj nową (Plugins – Add new w angielskiej wersji WP) i w oknie wyszukiwarki wpisz Better Search & Replace. Jeśli proponowane wtyczki nie wyświetliły się automatycznie, kliknij Szukaj.

Krok 5: Kliknij Zainstaluj. Poczekaj aż wtyczka zostanie zainstalowana. Następnie kliknij Włącz.

Krok 6: Upewnij się, że wykonałeś kopię zapasową bazy danych. Backup bazy danych wykonasz jednym kliknięciem wtyczką WP-DB Backup. Bez backupu nie radzę wprowadzać zmian do bazy danych, gdyż zawsze coś może pójść nie tak, a błędy mogą być kosztowne.

Krok 7: Przejdź do Narzędzia – Better Search & Replace

Krok 8: Wybierz zakładkę Search/Replace. Wpisz nazwę Twojej strony Search for: – adres z http:// Replace with: – adres z https. Zaznacz trzy wiersze w tabeli: wp_options, wp_postmeta, wp_posts. Pozostałe 3 pola pozostaw puste i uruchom aktualizację.

Jeśli wszystko zostało wykonane prawidłowo, w tym momencie na stronie powinna wyświetlać się już zielona kłódka.

Natomiast Twój klient cały czas będzie mógł wejść na stronę przez http:// i nie będzie widział, że strona jest bezpieczna. Dlatego (przed)ostatnim krokiem jest aktualizacja pliku .htaccess.

Krok 9. Zaloguj się do swojego serwera, pobierz plik .htaccess i edytuj go używając Notepadd++ lub notatnika. Do pliku dodaj następujące linijki:

<lfModule mod_rewrite.c>
RewriteEngine On
RewriteCond%{SERVER_PORT} 80
RewriteRule ^(.*)$ https://nazwa_strony.com/$1 [R,L] </lfModule>

(przed znacznikiem: # END WordPress)

Zapisz nową wersję pliku. Zamieść zaktualizowany plik na serwerze. Gotowe.

SSL dla Twojej domeny został poprawnie skonfigurowany.

Czy to koniec prac?

Już prawie. Twoja strona zapewne jest połączona z różnymi usługami: Google Search Console oraz Google Analytics. Tutaj również należy wprowadzić zmiany.

Google Analytics:

Zaloguj się do swojego konta, a następnie przejdź do zakładki: Administracja (w lewym dolnym rogu) – Ustawienia konta – Ustawienia usługi – Ustawienia widoku. Zmień adres z http:// na https:// i Zapisz zmiany.

 

Google Search Console:

Zaloguj się do swojego konta (lub utwórz je, jeśli takiego nie posiadasz). Kliknij w czerwony przycisk DODAJ, a nastepnie wpisz adres Twojej strony internetowej, koniecznie z przedrostkiem https://. Procedurę musisz wykonać dwa razy: dla strony z www. i bez www., np: https://www.nazwa-strony.pl i https:/nazwa-strony.pl (kolejność bez znaczenia).

 

Następnie zweryfikuj domenę według wybranej przez Ciebie metody. Strona zostanie dodana.

Zastanów się, z jakich jeszcze zewnętrznych narzędzi korzystasz: np. Bloglovin, Disqus oraz gdzie został wpisany adres Twojej strony internetowej. Tego procesu już niestety nie wytłumaczymy, bo jest indywidualny dla każdego. Po prostu musisz przypomnieć sobie wszystkie Twoje rejestracje. Wprawdzie edytowany plik .htaccess uniemożliwi dostęp do niezabezpieczonej wersji strony, ale dobrze jest wykonać wszystkie aktualizacje.

To koniec całego procesu. Jeśli wykonasz prawidłowo wszystkie kroki zapisane w Sposobie 1 lub Sposobie 2 Twoja strona powinna być chroniona w sposób prawidłowy. Pamiętaj również, że zawsze możesz skorzystać z naszej pomocy związanej z aktywacją Certyfikatu SSL.

Komentarze: 11

  • BEATA REDZIMSKA napisał(a):

    Jak fajnie wytlumaczone krok po kroku. Mam certyfikat SSL, nawet jezeli wiaze sie to z dodatkowa oplata, mysle, ze warto – to kwestia lepszego wizerunku, a ten na pewno jest warty tej ceny.

  • blogierka napisał(a):

    Czyli zwykły blog nie musi mieć tego certyfikatu?

    • Andrzej Kozdęba napisał(a):

      nie ma wymogu posiadania certyfikatu SSL – jeśli nie chcesz go instalować – nie musisz. Natomiast musisz pamiętać, że wiąże się to z informacją, że Twoja strona nie jest bezpieczna, która wkrótce będzie się wyświetlała wszystkim użytkownikom, którzy zaktualizują przeglądarki internetowe.
      Jeśli Twój dostawca oferuje darmowy Certyfikat SSL myślę, że nie ma nad czym się zastanawiać.

  • Ewelina napisał(a):

    Zgadzam się z Beatą. Również posiadam ww. cerfyfikat i z tego co wiem google szybciej uznaje takie witryny (chyba, że się mylę?).

    • Andrzej Kozdęba napisał(a):

      Ewelina, już od dłuższego czasu Google informuje, że strony z Certyfikatem SSL są premiowane w wynikach wyszukiwania. Więc jeśli zależy Ci na docieraniu do większej grupy odbiorców, to zdecydowanie warto 🙂

  • Łukasz Jarych napisał(a):

    Dobry poradnik, warto dodać, że są również darmowe certyfikaty SSL. Całkowicie! Ale nie wszystkie hostingi je obsługują. Google będzie coraz bardziej indeksowało strony z certyfikatem, a te bez będą gorzej się miały. Na naszym blogu na pewno trzeba będzie to wdrożyć wkrótce.

  • Agnieszka napisał(a):

    Bardzo fajny, rozjaśniający sytuację wpis 😉 Akurat od jakiegoś czasu zastanawiam się nad certyfikatem SSL, także jak najbardziej w punkt 🙂

  • Maciej napisał(a):

    Wyczerpujący i przejrzysty wpis. Dodałbym jednak jedną rzecz. Facebook zaczyna zwracać coraz większą uwagę na to, czy link w poście zawiera certyfikat, czy nie. Powstała teoria, że strony z SSL są lepiej odbierane przez fb, przez co mogą osiągnąć lepszy zasięg, niż strona bez SSL

  • Janusz Kamiński napisał(a):

    Cudownie to opisali. Wszystko co jest potrzebne jest pod ręką. Więc bez problemu można dodać certyfikat SSL . 🙂

Zostaw komentarz

Twój adres e-mail nie będzie opublikowany