Defaults.Exposed › Naprawy › Stan certyfikatu TLS

Jak naprawić Stan certyfikatu TLS

Twój certyfikat SSL/TLS to cyfrowy dowód tożsamości, który dowodzi, że odwiedzający naprawdę rozmawia z Twoją stroną — a nie z oszustem — i napędza kłódkę w przeglądarce. Ta kontrola sprawdza, czy certyfikat jest ważny i zaufany, czy nie jest bliski wygaśnięcia i czy zbudowano go z silnej, współczesnej kryptografii.

W skrócie dla Twojej firmy: Zepsuty lub wygasły certyfikat zastępuje Twoją stronę pełnoekranowym czerwonym ostrzeżeniem «Twoje połączenie nie jest prywatne» w każdej przeglądarce. Większość odwiedzających odchodzi natychmiast i nie wraca — sprzedaż online ustaje, rejestracje ustają, a połączenie, które miało być prywatne, może zostać po cichu przechwycone.

Ile może Cię to kosztować

• Twój certyfikat po cichu wygasa w weekend; do poniedziałku każdy odwiedzający trafia na pełnoekranowe ostrzeżenie bezpieczeństwa, Twój koszyk i formularze kontaktowe są martwe, a Ty tracisz sprzedaż za każdą godzinę, którą zajmuje zauważenie i odnowienie.
• Klient płacący przez WiFi w kawiarni czy hotelu dostaje ostrzeżenie, że Twój certyfikat nie pasuje do domeny — zakłada, że strona jest fałszywa lub zhakowana, porzuca zakup i mówi innym, że «wyglądała podejrzanie».
• Dział IT większego klienta przeprowadza przedumowny skan bezpieczeństwa, widzi samopodpisany lub niezaufany certyfikat i oznacza Cię jako ryzyko — transakcja utyka przez coś, co nic nie kosztuje, by naprawić.
• Twój certyfikat używa przestarzałej metody podpisu lub słabego klucza; współczesne przeglądarki zaczynają pokazywać na nim ostrzeżenia, a audyt bezpieczeństwa obniża Twoją ocenę za kryptografię, która od lat jest poza listą zaleceń.
• Przyjmujesz płatności kartą, a Twój dostawca płatności poddaje Cię ponownemu audytowi; słaby klucz lub wygasły certyfikat łamie reguły bezpieczeństwa płatności i Twój koszyk online zostaje zamrożony, dopóki tego nie poprawisz.

Dlaczego to ma znaczenie. Certyfikat to najbardziej widoczny element bezpieczeństwa Twojej strony — gdy jest zdrowy, jest niewidoczny, a gdy się psuje, kładzie całą Twoją stronę przerażającym ostrzeżeniem, które pędzi klientów prosto do konkurentów. Wygaśnięcie certyfikatu to przyczyna numer jeden nieoczekiwanych awarii stron, i całkowicie da się jej zapobiec. Zdobycie ważnego certyfikatu jest darmowe, a utrzymanie go zdrowym to głównie kwestia pozwolenia mu odnawiać się automatycznie.

Czym to jest, prostymi słowami

Gdy ktoś odwiedza Twoją stronę, muszą wydarzyć się dwie rzeczy, by poczuł się bezpiecznie, wpisując hasło lub numer karty. Po pierwsze, połączenie musi być zaszyfrowane, by obcy nie mogli go odczytać. Po drugie — i o tej części ludzie zapominają — przeglądarka odwiedzającego musi mieć pewność, że po drugiej stronie jest naprawdę Twoja strona, a nie oszust, który postawił przekonującą podróbkę. Tym, co robi oba zadania, jest Twój certyfikat TLS (często zwany „certyfikatem SSL”).

Pomyśl o nim jak o nienaruszalnym dowodzie tożsamości dla Twojej domeny. Uznany urząd go wydaje, jest opieczętowany Twoją nazwą domeny i datą wygaśnięcia oraz niesie klucz kryptograficzny, który szyfruje połączenie. Gdy wszystko się zgadza, przeglądarka pokazuje kłódkę, a Twoja strona wczytuje się normalnie. Gdy coś jest nie tak z dowodem tożsamości, przeglądarka robi coś przeciwnego do uspokojenia odwiedzającego — rzuca pełnoekranowe ostrzeżenie mówiące w istocie: „ta strona może nie być bezpieczna”.

Ta kontrola patrzy na stan tego dowodu tożsamości w czterech rzeczach, które każda osobno go łamie:

• Czy jest ważny i zaufany? — wydany przez uznany urząd, pasujący do Twojej dokładnej domeny, niesamopodpisany i niewygasły.
• Czy wkrótce wygasa? — bo certyfikat, który wygasa, kładzie całą Twoją stronę.
• Czy jest podpisany silną metodą? — stare algorytmy podpisu można podrobić.
• Czy jego klucz jest wystarczająco silny? — słaby klucz można w zasadzie złamać.

Dobra wiadomość na początek: zdobycie zdrowego certyfikatu jest darmowe, a utrzymanie go zdrowym to głównie pozwolenie mu odnawiać się automatycznie, by żaden człowiek nie musiał pamiętać.

Ile może Cię to kosztować

• Weekendowa awaria. Certyfikat po cichu osiąga datę wygaśnięcia późnym piątkiem. Odnowienie, które miało się wykonać, nie wykonało się (serwer się przeniósł, skrypt padł, nikt nie zauważył). Do soboty rano każdy odwiedzający — i każdy robot Google — widzi pełnoekranowe czerwone ostrzeżenie zamiast Twojej strony głównej. Twój sklep jest zamknięty, a Ty nawet o tym nie wiesz. Techniczna naprawa zajmuje minuty; utracony weekend sprzedaży i klienci, którzy uznali, że „padłeś”, nie wracają.

• Porzucony koszyk. Klient kupuje z telefonu przez hotelowe WiFi. Twój certyfikat nie do końca pasuje do domeny, którą wpisał (powiedzmy obejmuje shop.twojafirma.pl, ale nie gołą twojafirma.pl, której użył). Przeglądarka ostrzega go, że strona „może podszywać się” pod Twoją. Dla nietechnicznego kupującego czyta się to jak oszustwo — zamyka kartę, a Ty nigdy nie dowiadujesz się, że sprzedaż istniała.

• Utknięty kontrakt. Dział bezpieczeństwa większego potencjalnego klienta przeprowadza rutynowy skan przed podpisaniem. Wraca pokazując samopodpisany lub niezaufany certyfikat na jednej z Twoich subdomen. Nawet jeśli wszystko inne jest w porządku, ta jedna czerwona flaga zamienia szybkie zatwierdzenie w przepychanki, które opóźniają transakcję — przez problem, który nic nie kosztuje, by naprawić.

• Ostrzeżenie w zwolnionym tempie. Twój certyfikat jest technicznie ważny, ale podpisany SHA-1, starą metodą, którą przeglądarki wycofują. Jedna aktualizacja przeglądarki później i część Twoich odwiedzających zaczyna widzieć ostrzeżenia, których nie potrafisz odtworzyć na swojej własnej, zaktualizowanej maszynie. Zgłoszenia do wsparcia sączą się z informacją, że strona „wygląda na zepsutą”, a Ty nie potrafisz dojść dlaczego.

• Niezaliczenie zgodności. Przyjmujesz płatności kartą. Podczas ponownego audytu kontrole Twojego dostawcy oznaczają słaby klucz lub certyfikat, który wygasł. Reguły bezpieczeństwa kart wymagają silnego, aktualnego szyfrowania — więc Twoje płatności online zostają zawieszone, dopóki nie wydasz ponownie, zamrażając przychód w najgorszym możliwym momencie.

Czym to właściwie jest (cztery części)

Certyfikat może być niezdrowy na cztery odrębne sposoby, a ta strona obejmuje je wszystkie. Każdy to osobna kontrola pod maską, ale dla Ciebie wszystkie sprowadzają się do „czy mój certyfikat jest OK?”.

1. Ważny i zaufany

To kluczowa kwestia — i jedyna część stanu certyfikatu, która jest kontrolą krytyczną, o najwyższej wadze. Certyfikat jest „ważny i zaufany” tylko wtedy, gdy wszystkie z poniższych są prawdziwe:

• Został wydany przez uznany urząd certyfikacji, któremu przeglądarki już ufają (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon itd.).
• Pasuje do dokładnej domeny, której używa odwiedzający — w tym subdomen. Certyfikat dla www.twojafirma.pl, który nie obejmuje też twojafirma.pl, ostrzeże na gołej domenie.
• Nie jest samopodpisany — tj. nie taki, który wystawiłeś sam sobie, a który szyfruje, ale niczego nie dowodzi o tym, kim jesteś.
• Jest obecnie w swoim oknie dat — niewygasły i (dziwne, ale się zdarza) niedatowany na start w przyszłości.
• Jego łańcuch zaufania jest nienaruszony — urząd, który go podpisał, sam jest zaufany, aż do samej góry.

Jeśli którakolwiek z tych zawiedzie, przeglądarki pokazują przerażającą stronę „Twoje połączenie nie jest prywatne”, a ta kontrola nie przechodzi twardo. Dobrze wygląda tak: certyfikat od uznanego urzędu, obejmujący każdą domenę i subdomenę, której faktycznie używasz, komfortowo wewnątrz swoich dat.

2. Nie bliski wygaśnięcia

Każdy certyfikat ma twardą datę końcową. Darmowe zwykle trwają 90 dni; płatne często rok. Po dacie zaufanie wyparowuje natychmiast — nie ma okresu karencji. Ta kontrola mierzy, ile dni zostało i jak to oddziałuje z tym, kto go wydał:

• Jeśli już wygasł lub wygasa w mniej niż 7 dni, traktowane jest to jako krytyczne — oznaka, że odnawianie zawiodło.
• Jeśli wygasa w ciągu 30 dni i nie jest zarządzany automatycznie, to ostrzeżenie, by odnowić teraz.
• Jeśli pochodzi od dostawcy z automatycznym odnawianiem (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL i podobni) i ma co najmniej tydzień zapasu, przechodzi — bo oczekuje się, że odnowi się sam przed terminem.
• Mnóstwo zapasu (90+ dni lub zarządzany automatycznie) to czyste zaliczenie.

Dobrze wygląda tak: automatycznie zarządzany certyfikat, który odnawia się sam, bez niczyjego udziału. Najpewniejszy sposób, by nigdy nie mieć awarii z wygaśnięcia, to uczynić maszynę, a nie człowieka, odpowiedzialną za odnawianie.

3. Silny algorytm podpisu

Każdy certyfikat jest „podpisany” algorytmem kryptograficznym, który pozwala przeglądarkom wykryć manipulację. Stare algorytmy — MD5 i SHA-1 — okazały się możliwe do podrobienia, co oznacza, że atakujący mógłby w zasadzie spreparować oszukańczy certyfikat wyglądający prawowicie na Twój. Ta kontrola przechodzi, gdy certyfikat używa silnego, współczesnego podpisu: SHA-256 lub silniejszego (SHA-384, SHA-512), współczesnego ECDSA albo Ed25519/Ed448. MD5 i SHA-1 nie przechodzą. Dobrze wygląda tak: SHA-256 lub lepszy — co jest domyślne na każdym darmowym i współczesnym certyfikacie, więc rzadko jest to problem na czymkolwiek wydanym w ostatnich latach.

4. Silny klucz

Certyfikat niesie klucz kryptograficzny, który robi właściwe szyfrowanie. Jeśli ten klucz jest zbyt krótki, współczesna moc obliczeniowa może — przy dostatecznych zasobach — go złamać, pozwalając atakującemu podszyć się pod Twoją stronę lub odszyfrować ruch. Przyjęte minimum to 2048-bit RSA lub 256-bit krzywa eliptyczna (EC). Ta kontrola przechodzi przy tych rozmiarach lub większych, a poniżej nie przechodzi. Dobrze wygląda tak: 2048-bit (lub 4096-bit) RSA albo 256-bit klucz EC, jak P-256 — znów, domyślny na współczesnych darmowych certyfikatach.

Słowo o ostatnich trzech: ważny-i-zaufany to ten krytyczny, który napędza stronę ostrzeżenia. Siła podpisu i klucza dotyczą przyszłościowości i audytów — niedawny darmowy certyfikat niemal zawsze przechodzi je automatycznie, ale to rzeczy, które kontrola bezpieczeństwa sprawdzi, więc warto je dobrze ustawić.

Jak to naprawić (za darmo, ~15 minut)

Przekaż tę sekcję osobie prowadzącej Twoją stronę lub hosting — naprawa jest darmowa. Ważny, silny, automatycznie odnawiany certyfikat nic nie kosztuje przez Let’s Encrypt ani żaden współczesny hosting. My pobieramy opłatę jedynie za monitorowanie, że pozostaje zdrowy w czasie, a nie za naprawę. Jeśli nie masz informatyka, uwagi platformowe poniżej doprowadzą większość właścicieli do celu.

Krok 1 — Zdobądź (lub wymień) certyfikat na darmowy, zaufany. Ten jeden krok naprawia ważność, podpis i siłę klucza naraz, bo współczesne darmowe certyfikaty domyślnie używają SHA-256 i silnych kluczy.

• Cloudflare: w SSL/TLS → Overview ustaw tryb na Full (Strict). Cloudflare wydaje i automatycznie odnawia zaufany certyfikat brzegowy za Ciebie; upewnij się, że serwer źródłowy też ma ważny certyfikat, by „Strict” działało.
• Hosting Google Workspace / Microsoft 365 lub dowolny host cPanel: poszukaj SSL/TLS Status i uruchom AutoSSL. Udostępnia i odnawia darmowe certyfikaty automatycznie.
• Kreatory stron (Squarespace, Wix, Shopify, współczesne hosty WordPress): SSL jest zwykle włączone domyślnie — potwierdź, że jest aktywne w ustawieniach domeny/bezpieczeństwa i że obejmuje zarówno twojafirma.pl, jak i www.twojafirma.pl.
• Własny serwer Linux (Nginx/Apache): zainstaluj Let’s Encrypt z Certbotem — sudo certbot --nginx -d twojafirma.pl -d www.twojafirma.pl (lub --apache). Dla współczesnego klucza EC dodaj --key-type ecdsa. Wymień każdą nazwę hosta, którą serwujesz, przez -d, by certyfikat pasował do wszystkich.

Krok 2 — Uczyń odnawianie automatycznym, by nigdy znów nie wygasł. To krok, który zapobiega scenariuszowi weekendowej awarii.

• Na serwerze Let’s Encrypt potwierdź, że licznik odnawiania jest aktywny, i przetestuj go: sudo certbot renew --dry-run. Certbot zwykle instaluje automatyczny licznik; jeśli nie, dodaj codzienny cron: 0 3 * * * certbot renew --quiet.
• Na Cloudflare, cPanel AutoSSL oraz hostach zarządzanych/kreatorach odnawianie jest obsługiwane za Ciebie — nie ma nic do zaplanowania.

Krok 3 — Upewnij się, że obejmuje właściwe nazwy. Najczęstsza przyczyna „ważny, ale ostrzega” to niezgodność nazw. Certyfikat musi obejmować każdą nazwę hosta, której klienci faktycznie używają — gołą domenę, www i wszelkie subdomeny jak shop. czy app.. Generując certyfikat, dołącz każdą (wieloznacznik jak *.twojafirma.pl obejmuje wszystkie subdomeny za jednym razem).

Krok 4 — Jeśli oznaczono tylko podpis lub siłę klucza, po prostu wydaj ponownie. Nie musisz niczego kupować: wygeneruj świeży certyfikat (Krok 1), a nowy automatycznie użyje SHA-256 i silnego klucza. Na własnym serwerze możesz jawnie przypiąć współczesny klucz — np. openssl ecparam -genkey -name prime256v1 -out server.key dla EC albo openssl genrsa -out server.key 4096 dla RSA — a potem wydaj ponownie.

Krok 5 — Zweryfikuj, potem sprawdź ponownie tutaj. Potwierdź daty, wystawcę i klucz szybkim poleceniem — echo | openssl s_client -servername twojafirma.pl -connect twojafirma.pl:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — a potem uruchom tę kontrolę ponownie.

Częste błędy

• Traktowanie «zainstalowaliśmy SSL raz» jako gotowe. Certyfikaty wygasają wedle zegara. Bez automatycznego odnawiania pytaniem nie jest czy wygaśnie, lecz kiedy — zwykle w najmniej dogodnym momencie.
• Pokrycie www, ale nie gołej domeny (lub odwrotnie). Oba muszą być na certyfikacie, inaczej jedna z nich rzuca ostrzeżenie o niezgodności nazwy. Ta sama pułapka łapie nowe subdomeny dodane później.
• Zostawienie samopodpisanego certyfikatu na «testowej» subdomenie, która jest faktycznie publiczna. Szyfruje, więc wydaje się bezpieczny — ale przeglądarki (i skanery bezpieczeństwa) traktują go jako niezaufany, a to klasyczna czerwona flaga w audycie.
• Zakładanie, że płatny znaczy bezpieczniejszy. Darmowy certyfikat Let’s Encrypt jest dokładnie tak samo zaufany i szyfrowany jak drogi. Płacenie więcej nie czyni kłódki silniejszą.
• Odnowienie certyfikatu, ale zapomnienie o przeładowaniu serwera. Nowy certyfikat leżący na dysku nic nie robi, dopóki serwer WWW nie zostanie przeładowany, by go pobrać — zaskakująco częsta przyczyna „odnowiłem, a wciąż pokazuje wygasły”.
• Automatyczne odnawianie, które po cichu zawiodło. Zadanie odnawiania może paść (przeniesiony plik, zmiana DNS, zablokowany port) i nadal po cichu „odnosić sukces”. Monitorowanie daty wygaśnięcia — a nie tylko zadania odnawiania — jest tym, co faktycznie wychwytuje to, zanim ugryzie.

Najczęstsze pytania