Bezpieczeństwo

SSL w hostingu: Let's Encrypt, certyfikat płatny i problemy z odnowieniem

DV, OV, wildcard, auto-renew i mieszana zawartość po migracji. Wyjaśniamy, dlaczego darmowy Let's Encrypt zwykle wystarcza i jak uniknąć wpadek.

· Jul 16, 2026 · zaktualizowano Jun 29, 2026
SSL w hostingu: Let's Encrypt, certyfikat płatny i problemy z odnowieniem
Spis treści
  1. Co właściwie robi certyfikat SSL
  2. Typy certyfikatów — za co realnie płacisz
  3. Let's Encrypt i krótki cykl życia certyfikatu
  4. Auto-renew — najczęstsza cicha awaria
  5. Problemy po migracji strony
  6. Najczęściej zadawane pytania
  7. Podsumowanie
  8. Źródła i dalsza lektura

Kłódka przy adresie strony to dziś standard, nie luksus — bez certyfikatu SSL przeglądarki straszą komunikatem „Niezabezpieczona", a Google obniża zaufanie do witryny. Ale za prostą kłódką kryje się sporo niuansów: darmowy Let's Encrypt kontra certyfikat płatny, certyfikaty wildcard, automatyczne odnawianie i klasyczne problemy po migracji strony — mieszana zawartość i nagle wygasły certyfikat. Wyjaśniamy, co naprawdę musisz wiedzieć, żeby kłódka świeciła się bez przerw.

Co właściwie robi certyfikat SSL

Certyfikat SSL/TLS szyfruje połączenie między przeglądarką a serwerem (HTTPS) i potwierdza, że domena jest tym, za co się podaje. To dwie różne rzeczy: szyfrowanie chroni dane w drodze, walidacja potwierdza tożsamość. Wszystkie typy certyfikatów dają takie samo szyfrowanie — różnią się głównie poziomem weryfikacji tożsamości i zakresem domen.

Typy certyfikatów — za co realnie płacisz

Typ Co weryfikuje Dla kogo
DV (Domain Validation) tylko kontrolę nad domeną większość stron, blogi, firmy
OV (Organization Validation) istnienie organizacji firmy chcące pokazać dane w certyfikacie
EV (Extended Validation) rozszerzona weryfikacja firmy instytucje, gdzie liczy się maksymalne zaufanie
Wildcard jedna domena + wszystkie subdomeny strony z wieloma subdomenami
Multi-domain (SAN) wiele różnych domen w jednym certyfikacie kilka witryn na jednym certyfikacie

Najważniejszy fakt: dla zwykłej strony certyfikat DV w zupełności wystarcza, a darmowy Let's Encrypt to właśnie DV. Płatne certyfikaty OV/EV mają sens, gdy zależy Ci na pokazaniu zweryfikowanych danych organizacji (instytucje finansowe, duże marki), ale nie dają lepszego szyfrowania ani — wbrew marketingowi — automatycznie lepszego SEO. Certyfikat wildcard (*.twojadomena.pl) zabezpiecza jednym certyfikatem wszystkie subdomeny, co jest wygodne przy sklep., blog., staging. itd.

Let's Encrypt i krótki cykl życia certyfikatu

Let's Encrypt to darmowy, zautomatyzowany urząd certyfikacji, który zrewolucjonizował HTTPS — dziś zabezpiecza setki milionów domen. Działa na protokole ACME, który automatyzuje wydawanie i odnawianie. Trzy fakty, które warto znać:

  • Certyfikaty są krótkoterminowe. Klasyczny certyfikat Let's Encrypt jest ważny 90 dni. To celowe — krótka ważność wymusza automatyzację i ogranicza skutki wycieku klucza.
  • Cykl życia się skraca. Let's Encrypt zapowiedział dalsze skracanie ważności: profil ACME z certyfikatami 45-dniowymi ma być dostępny (opcjonalnie) od 13 maja 2026 roku, a w lutym 2027 domyślny profil ma przejść na certyfikaty 64-dniowe. Branża zmierza ku coraz krótszym certyfikatom — co czyni automatyczne odnawianie wręcz koniecznością.
  • Wildcard wymaga walidacji DNS-01. Certyfikat wildcard z Let's Encrypt można wydać tylko metodą DNS-01 (wpis TXT w DNS), a nie prostszą HTTP-01.

Konsekwencja jest jedna: przy 90-, a wkrótce 45-dniowej ważności ręczne odnawianie nie ma sensu. Twój hosting powinien odnawiać certyfikat automatycznie — to absolutny standard. Jeśli musisz pamiętać o odnowieniu ręcznie, prędzej czy później strona „padnie" na wygasłym certyfikacie.

Auto-renew — najczęstsza cicha awaria

Automatyczne odnawianie zwykle działa bezgłośnie, ale potrafi się zaciąć. Najczęstsze przyczyny:

  • Zmiana DNS lub hostingu — po migracji walidacja domeny może przestać przechodzić, bo wskazuje na stary serwer.
  • Blokada walidacji — reguła w .htaccess albo zapora blokująca ścieżkę /.well-known/acme-challenge/ uniemożliwia potwierdzenie HTTP-01.
  • Wildcard bez dostępu do DNS — odnowienie DNS-01 wymaga możliwości zapisu rekordu TXT; brak integracji z DNS blokuje proces.

Dlatego, mimo automatyzacji, monitoruj datę ważności certyfikatu. Większość narzędzi uptime potrafi ostrzec, że certyfikat wygasa za X dni — to tani sposób, by uniknąć wpadki.

Problemy po migracji strony

Przenosiny witryny to moment, w którym najczęściej psuje się SSL:

  • Mieszana zawartość (mixed content). Strona ładuje się po HTTPS, ale część zasobów (obrazy, skrypty, style) ma w kodzie wpisane adresy http://. Przeglądarka blokuje je lub pokazuje ostrzeżenie, a kłódka znika. Lekarstwo: zamień wszystkie wewnętrzne adresy na https:// (w WordPressie pomaga aktualizacja adresów w bazie i wtyczki wymuszające HTTPS) oraz dodaj przekierowanie 301 z HTTP na HTTPS.
  • Wygasły lub niewydany certyfikat. Na nowym serwerze certyfikat bywa jeszcze nie wystawiony — zadbaj o jego wydanie i działający auto-renew zanim przepniesz ruch.
  • Niedopasowana domena. Certyfikat wydany na www.domena.pl nie pokrywa domena.pl (i odwrotnie) — upewnij się, że obejmuje obie wersje, oraz ustaw spójne przekierowanie.

Bezpieczeństwo hostingu w 2026: malware, DDoS, WAF i kopie zapasowe

Najczęściej zadawane pytania

Czy darmowy Let's Encrypt jest gorszy od płatnego?

Pod względem szyfrowania nie — daje takie samo, silne zabezpieczenie. Płatne certyfikaty OV/EV różnią się poziomem weryfikacji organizacji, a nie jakością szyfrowania. Dla większości stron darmowy DV w zupełności wystarcza.

Dlaczego certyfikat Let's Encrypt ważny jest tylko 90 dni?

To celowa decyzja: krótka ważność wymusza automatyczne odnawianie i ogranicza skutki ewentualnego wycieku klucza. Ważność ma się dalej skracać — do 45 dni (opcjonalnie od maja 2026) i 64 dni w domyślnym profilu od 2027.

Kłódka zniknęła po przenosinach — co się stało?

Najczęściej to mieszana zawartość: strona ładuje zasoby po http://. Zamień wewnętrzne adresy na https://, dodaj przekierowanie z HTTP na HTTPS i sprawdź, czy certyfikat obejmuje używaną wersję domeny.

Czy potrzebuję certyfikatu wildcard?

Tylko jeśli masz wiele subdomen (sklep., blog., staging.). Wtedy jeden wildcard jest wygodniejszy niż osobne certyfikaty. Pamiętaj, że z Let's Encrypt wymaga on walidacji DNS-01.

Podsumowanie

SSL to dziś niezbywalny standard, ale diabeł tkwi w cyklu życia certyfikatu. Dla większości stron darmowy DV z Let's Encrypt jest w pełni wystarczający — płać za OV/EV tylko, gdy realnie potrzebujesz zweryfikowanej tożsamości organizacji. Przy ważności skracanej z 90 do 45 dni jedyne sensowne podejście to działający auto-renew plus monitoring daty wygaśnięcia. A jeśli kłódka znika po migracji, w pierwszej kolejności sprawdź mieszaną zawartość i zgodność domeny z certyfikatem. Zadbany SSL jest niewidoczny — i właśnie o to chodzi.

Źródła i dalsza lektura

Źródła