webh.pl
Panel klienta

Darmowy certyfikat SSL na hostingu (Let's Encrypt)

Jak działa bezpłatny certyfikat Let's Encrypt na hostingu webh, automatyczne odnawianie, certyfikat wildcard oraz na co zwrócić uwagę przy zewnętrznym DNS.

  • czytania
  • Zaktualizowano:
SSL i HTTPS
Hosting

W ramach hostingu otrzymujesz darmowy certyfikat SSL Let’s Encrypt dla każdej strony. Dzięki niemu połączenie z witryną jest szyfrowane, w przeglądarce pojawia się kłódka, a strona budzi większe zaufanie odwiedzających i jest lepiej oceniana przez wyszukiwarki. Nie musisz nic dokupować ani pamiętać o przedłużaniu.

Jak włączyć certyfikat

Certyfikat wygenerujesz dla dowolnej strony dodanej w panelu hostingowym:

  1. Zaloguj się do panelu klienta i przejdź Produkty/Usługi → Hosting WWW → Do panelu.
  2. Otwórz zakładkę Strony i wybierz domenę, dla której chcesz włączyć SSL.
  3. Włącz certyfikat Let’s Encrypt dla tej strony.

Warunkiem wystawienia certyfikatu jest to, żeby domena była już skierowana na nasze serwery (opisujemy to w poradniku jak podpiąć własną domenę). Certyfikat jest wydawany dla konkretnej, działającej domeny.

Gdy certyfikat nie chce się wygenerować

Jeśli przy włączaniu Let’s Encrypt pojawia się prośba o dodanie rekordu TXT _acme-challenge do strefy DNS, oznacza to, że została wybrana opcja dodatkowa (wildcard lub weryfikacja DNS). Przy domenie skierowanej na nasze serwery nie jest ona potrzebna. Wystarczy generować certyfikat na ustawieniach domyślnych, a wystawi się i odnowi automatycznie.

Druga częsta przyczyna to niespójne kierowanie wersji www i bez www. Certyfikat obejmuje oba adresy (twojadomena.pl i www.twojadomena.pl), więc oba muszą wskazywać na nasz serwer. Jeśli jeden z nich kieruje gdzie indziej, generowanie się nie powiedzie.

Informacja

Po kilku nieudanych próbach Let’s Encrypt może chwilowo zablokować wystawianie certyfikatu dla danej domeny (limit prób). Wtedy najlepiej najpierw poprawić konfigurację domeny, a dopiero potem ponowić generowanie, zamiast próbować raz za razem.

Automatyczne odnawianie

Certyfikaty Let’s Encrypt są ważne przez około trzy miesiące, ale odnawiają się automatycznie. Nie musisz nic robić ręcznie co kwartał, system zajmuje się tym za Ciebie. To wygodne i eliminuje ryzyko, że strona nagle straci ważny certyfikat.

Wskazówka

Jeśli mimo włączonego SSL strona otwiera się bez kłódki lub z ostrzeżeniem, najczęściej trwa jeszcze propagacja DNS po skierowaniu domeny albo serwis wymusza ładowanie części zasobów po http. Po pełnej propagacji i poprawieniu odwołań do zasobów problem znika.

Certyfikat wildcard i certyfikaty komercyjne

Jeśli potrzebujesz objąć jednym certyfikatem wszystkie subdomeny (wpisem *.twojadomena.pl), dostępny jest wildcard od Let’s Encrypt, również bezpłatnie. Sprawdza się to przy serwisach z wieloma subdomenami, gdy nie chcesz wystawiać osobnego certyfikatu dla każdej z nich. Warunkiem jest, by domena korzystała z naszych serwerów DNS, bo wildcard Let’s Encrypt weryfikowany jest wpisem w strefie DNS.

Nie oferujemy natomiast komercyjnych (płatnych) certyfikatów wildcard. Dla zdecydowanej większości stron darmowy Let’s Encrypt (zwykły lub wildcard) zapewnia dokładnie ten sam poziom szyfrowania, więc nie ma potrzeby dokupować niczego.

Informacja

Jeśli masz własny, płatny certyfikat (np. z wymaganiami zgodności w firmie), możesz go zainstalować samodzielnie. Opisujemy to w poradniku o certyfikacie komercyjnym i własnym. Pamiętaj, że certyfikaty SSL mają dziś maksymalny okres ważności rzędu około roku, dlatego nawet certyfikat „dwuletni" wymaga po tym czasie ponownego wystawienia i instalacji.

Strona „niezabezpieczona" mimo certyfikatu

Czasem certyfikat jest poprawnie włączony, a przeglądarka i tak nie pokazuje zamkniętej kłódki i ostrzega, że połączenie nie jest w pełni bezpieczne. To najczęściej mieszana treść (mixed content): część zasobów strony (obrazki, skrypty, style) ładuje się po zwykłym http, mimo że sama strona działa po https. Wystarczy jeden taki element, by kłódka zniknęła.

Rozwiązanie polega na tym, żeby wszystkie odwołania prowadziły po https. W WordPressie pomaga wtyczka typu SSL Insecure Content Fixer, która poprawia większość takich odwołań automatycznie. Jeśli adresy z http są wpisane na stałe w treści lub w nietypowych miejscach, trzeba je poprawić ręcznie.

Wymuszanie HTTPS

Aby goście zawsze trafiali na wersję szyfrowaną, wymuś przekierowanie z http na https w panelu hostingowym. Aby to zrealizować:

  1. Zaloguj się do panelu klienta i przejdź Produkty/Usługi → Hosting WWW → Do panelu.
  2. Otwórz zakładkę Strony i wybierz domenę, dla której chcesz włączyć wymuszanie.
  3. Zaznacz opcję: Przekierowuj żądania HTTP na HTTPS

Wskazówka

Wiele systemów CMS (np. WordPress, PrestaShop) ma własną opcję wymuszania HTTPS w ustawieniach. Jeśli z niej korzystasz, nie potrzebujesz dodatkowego przekierowania - wystarczy jedno rozwiązanie, żeby uniknąć podwójnych przekierowań.

Odnowienie hostingu a certyfikat

Odnowienie usługi hostingu i odnowienie certyfikatu to dwie różne rzeczy. Darmowy Let’s Encrypt odnawia się automatycznie co kwartał, niezależnie od tego, kiedy opłacasz hosting, więc opłacenie kolejnego okresu usługi nie jest potrzebne „dla SSL". Jeśli używasz własnego certyfikatu płatnego, jego ważność pilnujesz osobno.

Wskazówka

Gdy domena korzysta z zewnętrznego DNS (poza naszymi serwerami), do wystawienia i odnawiania Let’s Encrypt domena musi wskazywać na nasz serwer albo musi pojawić się wymagany wpis weryfikacyjny w strefie DNS. Bez tego certyfikat nie zostanie wydany, bo system nie potwierdzi, że domena należy do Ciebie.

Powiązane artykuły