SSL certyfikat co to jest? HTTPS, Let's Encrypt, SEO 2026

SSL (Secure Sockets Layer, od 2015 zastąpiony przez TLS — Transport Layer Security) to protokół szyfrowania połączenia między przeglądarką a serwerem. HTTPS to HTTP wrapowany w SSL/TLS — gwarantuje że dane (logowanie, karty kredytowe, formularze) są szyfrowane i nie mogą być podsłuchane przez trzecie strony. Bez HTTPS przeglądarka pokazuje "Not Secure" (Chrome od 2018), co dla commerce = katastrofa (50%+ bounce rate). HTTPS działa na porcie 443, HTTP na 80. Od 2014 Google uznał HTTPS za ranking signal SEO. Od 2018 wszystkie strony wymagają HTTPS dla indeksacji i rankowania (HTTP pages są deprioryzowane). Dla współczesnej strony 2026 HTTPS jest BEZWZGLĘDNIE wymagane.

3 główne typy per level weryfikacji: (1) DV (Domain Validation) — sprawdza tylko własność domeny (email verification lub DNS record). Wydanie 5-30 min. Cena: 0 zł (Let's Encrypt) do 150 zł/rok komercyjny. Dla: blogi, portfolio, wizytówki, większość SMB. (2) OV (Organization Validation) — dodatkowo weryfikuje tożsamość firmy (KRS/CEIDG, dokumenty). Wydanie 1-5 dni. Cena 300-1000 zł/rok. Dla: e-commerce średnio-duże, korporacyjne landing pages. Pokazuje nazwę firmy w przeglądarce (tylko Firefox pokazuje detal, Chrome nie od 2020). (3) EV (Extended Validation) — najwyższa weryfikacja, pełny audyt firmy przez CA (Certificate Authority). Wydanie 7-14 dni. Cena 500-3000 zł/rok. Dla: banki, fintech, high-trust e-commerce. HISTORYCZNIE pokazywał zieloną nazwę w pasku (dziś Chrome usunął zielony pasek w 2019 — visual distinction zmniejszył się). WYJĄTKI: Wildcard SSL (*.twojafirma.pl, obejmuje subdomeny) — 200-1500 zł/rok DV/OV. Multi-Domain (SAN) SSL — jedna cert dla wielu domen, 300-2000 zł/rok.

TAK — Let's Encrypt jest OBECNY STANDARD dla większości stron. Free, open-source, non-profit Certificate Authority uruchomiony w 2016 przez ISRG (Internet Security Research Group) wspierany przez Mozilla, Cisco, EFF. Wydanie certyfikatu: 5-30 sekund przez ACME protocol. Cert ważny 90 dni (auto-renew przez crontab lub hosting). FUNKCJONALNIE równy płatnym DV certs — takie samo szyfrowanie, taki sam HTTPS. WSZYSTKIE przeglądarki ufają (nie pokazuje "Not Secure"). STATYSTYKI 2026: 70%+ stron w internecie używa Let's Encrypt. KIEDY NIE Let's Encrypt: (1) wymagasz OV/EV dla brand signals (rzadko krytyczne 2026), (2) hosting nie support ACME protocol (stare shared hostingi — obsolete), (3) compliance wymaga specific vendor (niektóre rządowe audyty wymagają DigiCert/Sectigo). Dla 95% SMB/e-commerce — Let's Encrypt bezpłatnie automatic przez Cloudflare lub hosting (cyberfolks/home.pl/Zenbox auto-włączają) wystarcza.

3 główne sposoby: (1) PRZEZ HOSTING PANEL (najprostsze) — większość shared hostów PL (home.pl/cyberfolks/Zenbox/LH) ma one-click install Let's Encrypt w cPanel/dashboard. Kliknij "Activate Let's Encrypt" → cert wydany 30s → auto-renew. (2) PRZEZ CLOUDFLARE (free, alternative) — ustaw domenę nameservers na Cloudflare, włącz Flexible/Full SSL, Cloudflare generuje + serve SSL certificate. Bonus: CDN, DDoS protection, page speed boost. Darmowe forever. (3) MANUAL (VPS/dedicated) — przez certbot CLI na Linux: `sudo certbot --nginx -d twojafirma.pl`. Wymaga SSH + root access. Auto-renew crontab: `0 12 * * * /usr/bin/certbot renew --quiet`. PO INSTALACJI: force HTTPS redirect (301 z HTTP na HTTPS) w .htaccess lub Nginx config. Update wszystkie internal links HTTP → HTTPS. Update canonical URLs w tagu <link>. Mixed content (HTTP image na HTTPS page) pokazuje warning — popraw wszystkie assets na HTTPS.

TAK. Google potwierdził HTTPS jako ranking signal w 2014 (Pubcon Las Vegas announcement). 3 kanały wpływu SEO: (1) DIRECT RANKING BOOST — strony HTTPS mają lekki ranking advantage vs HTTP. "Lekki" = tiebreaker (jeśli dwie strony są równie dobre, HTTPS wygra). Nie ratuje słabej strony, ale niedobór HTTPS na dobrej stronie = penalty. (2) CHROME NOT SECURE WARNING — od 2018 Chrome pokazuje "Not Secure" na HTTP pages. Efekt: 50%+ bounce rate przed włączeniem HTTPS. User nie klika (strach o bezpieczeństwo). (3) HTTPS WYMAGANE DLA NOWYCH FUNKCJI — HTTP/2, HTTP/3, Service Workers (PWA), Geolocation API, Push Notifications — wszystkie WYMAGAJĄ HTTPS. Bez HTTPS tracisz dostęp do nowoczesnych web APIs = gorszy UX = gorszy ranking. MISTAKES: (a) mixed content — strona HTTPS z obrazem HTTP wywołuje browser warning = bounce. (b) brak 301 redirect z HTTP na HTTPS = Google widzi duplikat content. (c) wygasły certyfikat = strona offline dla Chrome. Let's Encrypt auto-renew rozwiązuje wszystkie.

Ceny 2026: (1) LET'S ENCRYPT DV — 0 zł (free forever). Przez hosting one-click lub Cloudflare. Standard dla 95% stron. (2) KOMERCYJNE DV — 50-200 zł/rok (SeoHost, Cal.pl, home.pl re-sell Sectigo/GeoTrust). Sensowne tylko gdy hosting nie obsługuje Let's Encrypt (rzadkie 2026). (3) WILDCARD DV (*.twojafirma.pl) — Let's Encrypt 0 zł (obsługuje wildcards od 2018) lub komercyjny 200-800 zł/rok. Dla stron z dużą liczbą subdomen (blog.firma.pl, shop.firma.pl, api.firma.pl). (4) OV — 300-1000 zł/rok (DigiCert, Sectigo, GlobalSign). Dla korporacji, wymagane compliance. (5) EV — 500-3000 zł/rok. Dla banków, fintech, high-trust. (6) MULTI-DOMAIN SAN — 300-2000 zł/rok (1 cert dla wielu domen twojafirma.pl + twojafirma.com). REKOMENDACJA dla SMB: Let's Encrypt przez hosting lub Cloudflare = 0 zł. Dla e-commerce z kartami kredytowymi (rare 2026 bo większość używa bramek): SAN SSL 500 zł/rok.

Test SSL certyfikatu: (1) BROWSER TEST — otwórz twojafirma.pl, kliknij kłódkę przy URL. Powinno pokazać "Connection is secure" + nazwę CA (np. "Let's Encrypt"). (2) SSL LABS — https://ssllabs.com/ssltest/ (Qualys). Free test oceniający konfigurację. Target: grade A lub A+. Sprawdza: protocol support (TLS 1.3 current, TLS 1.0/1.1 disabled), cipher suites, Perfect Forward Secrecy, HSTS, OCSP Stapling. (3) WHY NO PADLOCK — https://www.whynopadlock.com/ — debug mixed content issues (HTTP images/scripts on HTTPS page). (4) BROWSER DEV TOOLS — F12 → Security tab (Chrome) pokazuje certificate details, issuer, expiration. Console tab pokazuje mixed content warnings. (5) CERT EXPIRY MONITORING — ustaw alerty (UptimeRobot, Pingdom) 14 dni przed expiry. Let's Encrypt auto-renew powinien załatwić, ale sprawdź crontab aktywny. COMMON ISSUES: wygasły cert (expired), mixed content (HTTP + HTTPS mixed), wrong domain (cert dla twojafirma.pl ale served as www.twojafirma.pl — Wildcard lub SAN rozwiązuje).