ETR

Weryfikacja certyfikatu SSL to sprawdzenie, czy Twoja strona faktycznie działa po HTTPS, a certyfikat jest poprawnie zainstalowany, aktualny i zaufany przez przeglądarki. To ważne nie tylko po wdrożeniu certyfikatu, ale też po zmianie hostingu, konfiguracji serwera, włączeniu CDN albo po odnowieniu certyfikatu.

Błąd w SSL potrafi zablokować użytkowników komunikatem o braku bezpieczeństwa i od razu obniżyć zaufanie do serwisu.

Po co weryfikować SSL, skoro jest kłódka w przeglądarce?

Kłódka to dobry znak, ale nie zawsze znaczy, że wszystko jest dopięte. Możesz mieć poprawny certyfikat, a jednocześnie:

  • część zasobów ładuje się po HTTP (mixed content),
  • strona ma źle ustawione przekierowania,
  • certyfikat obejmuje inną wersję domeny niż ta używana przez użytkowników,
  • na serwerze brakuje pełnego łańcucha certyfikatów (intermediate),
  • po odnowieniu certyfikatu nadal serwuje się stara wersja z cache.

Weryfikacja pozwala to wyłapać od razu, zamiast dowiedzieć się od użytkowników.

Sprawdzenie w przeglądarce: najszybszy test

Najprościej zacząć od wejścia na stronę w trybie incognito i sprawdzenia szczegółów certyfikatu w przeglądarce. Interesuje Cię przede wszystkim, czy połączenie jest bezpieczne, dla jakiej domeny wystawiono certyfikat oraz do kiedy jest ważny.

W tym miejscu od razu zauważysz też klasyczny problem: certyfikat może być wystawiony np. dla www, a użytkownik wchodzi na wersję bez www. Obie wersje domeny powinny być obsłużone poprawnie, a najlepiej jedna powinna przekierowywać do drugiej w sposób konsekwentny.

Certyfikaty ssl weryfikacja

Czy certyfikat jest wystawiony dla właściwej domeny?

W praktyce certyfikat powinien obejmować dokładnie te domeny, z których korzystają użytkownicy. Najczęściej to:

  • domena główna (np. twojadomena.pl),
  • wersja z www (www.twojadomena.pl),
  • ewentualnie subdomeny, jeśli działają publicznie (np. sklep., panel., intranet.).

Jeśli masz subdomeny i chcesz je zabezpieczyć jednym certyfikatem, wtedy wchodzi temat certyfikatu typu Wildcard. Bez tego część subdomen może generować błąd, mimo że domena główna działa poprawnie.

Data ważności i odnowienie, czyli najczęstszy powód awarii

Certyfikat ma datę ważności. Weryfikacja powinna odpowiedzieć na dwa pytania: czy certyfikat jest aktualny oraz czy odnowienie działa automatycznie (jeśli korzystasz z automatyzacji). W praktyce problem pojawia się wtedy, gdy certyfikat został odnowiony, ale serwer nadal podaje stary, bo usługa nie została przeładowana albo działa cache.

Jeżeli masz serwis krytyczny (sklep, system, portal), warto traktować to jako element utrzymania: kontrola daty ważności to podstawowa czynność administracyjna.

Łańcuch certyfikatów: czy serwer podaje komplet

Częsty błąd po instalacji SSL to brak pełnego łańcucha certyfikacji, czyli brak certyfikatów pośrednich. W części przeglądarek strona może działać, a w innych pojawi się błąd, bo urządzenie użytkownika nie potrafi poprawnie zbudować zaufania do certyfikatu.

Jeżeli masz sytuację: u mnie działa, u klienta nie działa, to jest jeden z pierwszych punktów do sprawdzenia.

Przekierowania i jedna wersja adresu

Weryfikacja SSL to też sprawdzenie, czy:

  • każda wersja adresu HTTP przekierowuje na HTTPS,
  • przekierowania nie tworzą pętli,
  • nie ma sytuacji, w której część podstron działa na HTTP, a część na HTTPS.

Dobrą praktyką jest też spójność wersji domeny: albo zawsze www, albo zawsze bez www. Ważne, żeby strona nie była dostępna równolegle pod różnymi wariantami bez kontroli, bo to potrafi wprowadzać chaos w analityce i SEO.

Mixed content: najczęstszy problem po wdrożeniu HTTPS

Mixed content oznacza, że strona jest otwierana po HTTPS, ale ładuje część zasobów po HTTP, np. obrazek, skrypt, font albo element zewnętrzny. Efekt bywa różny: czasem przeglądarka tylko ostrzega, a czasem blokuje zasób, przez co strona może działać gorzej lub wyglądać inaczej.

To bardzo częste po migracji na HTTPS, gdy w treści, szablonach lub wtyczkach zostały twarde odwołania do http.

Co jeszcze warto sprawdzić, jeśli strona jest ważna biznesowo?

Jeżeli strona ma duży ruch albo obsługuje transakcje, warto iść krok dalej i sprawdzić konfigurację TLS oraz polityki bezpieczeństwa po stronie serwera. Tu wchodzą tematy typu wymuszenie bezpiecznych protokołów, ustawienie HSTS czy poprawne działanie OCSP.

To nie jest wymagane dla każdej małej strony, ale w projektach krytycznych realnie zmniejsza ryzyko i liczbę błędów po stronie użytkowników.

Podsumowując

Weryfikacja certyfikatu SSL to szybki sposób, żeby upewnić się, że HTTPS działa poprawnie w praktyce: certyfikat jest ważny, obejmuje właściwe domeny, przekierowania są spójne, a strona nie ładuje zasobów po HTTP.

Najlepiej robić to po wdrożeniu, po odnowieniu certyfikatu oraz po każdej większej zmianie infrastruktury, bo wtedy najczęściej pojawiają się problemy, które użytkownik zobaczy jako komunikat o braku bezpieczeństwa.

Chcesz wiedzieć więcej?

kampanie portal seo wcag miasto gmina www bip crm