SSL w hostingu: Let's Encrypt, certyfikat płatny i problemy z odnowieniem
DV, OV, wildcard, auto-renew i mieszana zawartość po migracji. Wyjaśniamy, dlaczego darmowy Let's Encrypt zwykle wystarcza i jak uniknąć wpadek.

Spis treści
Kłódka przy adresie strony to dziś standard, nie luksus — bez certyfikatu SSL przeglądarki straszą komunikatem „Niezabezpieczona", a Google obniża zaufanie do witryny. Ale za prostą kłódką kryje się sporo niuansów: darmowy Let's Encrypt kontra certyfikat płatny, certyfikaty wildcard, automatyczne odnawianie i klasyczne problemy po migracji strony — mieszana zawartość i nagle wygasły certyfikat. Wyjaśniamy, co naprawdę musisz wiedzieć, żeby kłódka świeciła się bez przerw.
Co właściwie robi certyfikat SSL
Certyfikat SSL/TLS szyfruje połączenie między przeglądarką a serwerem (HTTPS) i potwierdza, że domena jest tym, za co się podaje. To dwie różne rzeczy: szyfrowanie chroni dane w drodze, walidacja potwierdza tożsamość. Wszystkie typy certyfikatów dają takie samo szyfrowanie — różnią się głównie poziomem weryfikacji tożsamości i zakresem domen.
Typy certyfikatów — za co realnie płacisz
| Typ | Co weryfikuje | Dla kogo |
|---|---|---|
| DV (Domain Validation) | tylko kontrolę nad domeną | większość stron, blogi, firmy |
| OV (Organization Validation) | istnienie organizacji | firmy chcące pokazać dane w certyfikacie |
| EV (Extended Validation) | rozszerzona weryfikacja firmy | instytucje, gdzie liczy się maksymalne zaufanie |
| Wildcard | jedna domena + wszystkie subdomeny | strony z wieloma subdomenami |
| Multi-domain (SAN) | wiele różnych domen w jednym certyfikacie | kilka witryn na jednym certyfikacie |
Najważniejszy fakt: dla zwykłej strony certyfikat DV w zupełności wystarcza, a darmowy Let's Encrypt to właśnie DV. Płatne certyfikaty OV/EV mają sens, gdy zależy Ci na pokazaniu zweryfikowanych danych organizacji (instytucje finansowe, duże marki), ale nie dają lepszego szyfrowania ani — wbrew marketingowi — automatycznie lepszego SEO. Certyfikat wildcard (*.twojadomena.pl) zabezpiecza jednym certyfikatem wszystkie subdomeny, co jest wygodne przy sklep., blog., staging. itd.
Let's Encrypt i krótki cykl życia certyfikatu
Let's Encrypt to darmowy, zautomatyzowany urząd certyfikacji, który zrewolucjonizował HTTPS — dziś zabezpiecza setki milionów domen. Działa na protokole ACME, który automatyzuje wydawanie i odnawianie. Trzy fakty, które warto znać:
- Certyfikaty są krótkoterminowe. Klasyczny certyfikat Let's Encrypt jest ważny 90 dni. To celowe — krótka ważność wymusza automatyzację i ogranicza skutki wycieku klucza.
- Cykl życia się skraca. Let's Encrypt zapowiedział dalsze skracanie ważności: profil ACME z certyfikatami 45-dniowymi ma być dostępny (opcjonalnie) od 13 maja 2026 roku, a w lutym 2027 domyślny profil ma przejść na certyfikaty 64-dniowe. Branża zmierza ku coraz krótszym certyfikatom — co czyni automatyczne odnawianie wręcz koniecznością.
- Wildcard wymaga walidacji DNS-01. Certyfikat wildcard z Let's Encrypt można wydać tylko metodą DNS-01 (wpis TXT w DNS), a nie prostszą HTTP-01.
Konsekwencja jest jedna: przy 90-, a wkrótce 45-dniowej ważności ręczne odnawianie nie ma sensu. Twój hosting powinien odnawiać certyfikat automatycznie — to absolutny standard. Jeśli musisz pamiętać o odnowieniu ręcznie, prędzej czy później strona „padnie" na wygasłym certyfikacie.
Auto-renew — najczęstsza cicha awaria
Automatyczne odnawianie zwykle działa bezgłośnie, ale potrafi się zaciąć. Najczęstsze przyczyny:
- Zmiana DNS lub hostingu — po migracji walidacja domeny może przestać przechodzić, bo wskazuje na stary serwer.
- Blokada walidacji — reguła w
.htaccessalbo zapora blokująca ścieżkę/.well-known/acme-challenge/uniemożliwia potwierdzenie HTTP-01. - Wildcard bez dostępu do DNS — odnowienie DNS-01 wymaga możliwości zapisu rekordu TXT; brak integracji z DNS blokuje proces.
Dlatego, mimo automatyzacji, monitoruj datę ważności certyfikatu. Większość narzędzi uptime potrafi ostrzec, że certyfikat wygasa za X dni — to tani sposób, by uniknąć wpadki.
Problemy po migracji strony
Przenosiny witryny to moment, w którym najczęściej psuje się SSL:
- Mieszana zawartość (mixed content). Strona ładuje się po HTTPS, ale część zasobów (obrazy, skrypty, style) ma w kodzie wpisane adresy
http://. Przeglądarka blokuje je lub pokazuje ostrzeżenie, a kłódka znika. Lekarstwo: zamień wszystkie wewnętrzne adresy nahttps://(w WordPressie pomaga aktualizacja adresów w bazie i wtyczki wymuszające HTTPS) oraz dodaj przekierowanie 301 z HTTP na HTTPS. - Wygasły lub niewydany certyfikat. Na nowym serwerze certyfikat bywa jeszcze nie wystawiony — zadbaj o jego wydanie i działający auto-renew zanim przepniesz ruch.
- Niedopasowana domena. Certyfikat wydany na
www.domena.plnie pokrywadomena.pl(i odwrotnie) — upewnij się, że obejmuje obie wersje, oraz ustaw spójne przekierowanie.
Bezpieczeństwo hostingu w 2026: malware, DDoS, WAF i kopie zapasowe
Najczęściej zadawane pytania
Czy darmowy Let's Encrypt jest gorszy od płatnego?
Pod względem szyfrowania nie — daje takie samo, silne zabezpieczenie. Płatne certyfikaty OV/EV różnią się poziomem weryfikacji organizacji, a nie jakością szyfrowania. Dla większości stron darmowy DV w zupełności wystarcza.
Dlaczego certyfikat Let's Encrypt ważny jest tylko 90 dni?
To celowa decyzja: krótka ważność wymusza automatyczne odnawianie i ogranicza skutki ewentualnego wycieku klucza. Ważność ma się dalej skracać — do 45 dni (opcjonalnie od maja 2026) i 64 dni w domyślnym profilu od 2027.
Kłódka zniknęła po przenosinach — co się stało?
Najczęściej to mieszana zawartość: strona ładuje zasoby po http://. Zamień wewnętrzne adresy na https://, dodaj przekierowanie z HTTP na HTTPS i sprawdź, czy certyfikat obejmuje używaną wersję domeny.
Czy potrzebuję certyfikatu wildcard?
Tylko jeśli masz wiele subdomen (sklep., blog., staging.). Wtedy jeden wildcard jest wygodniejszy niż osobne certyfikaty. Pamiętaj, że z Let's Encrypt wymaga on walidacji DNS-01.
Podsumowanie
SSL to dziś niezbywalny standard, ale diabeł tkwi w cyklu życia certyfikatu. Dla większości stron darmowy DV z Let's Encrypt jest w pełni wystarczający — płać za OV/EV tylko, gdy realnie potrzebujesz zweryfikowanej tożsamości organizacji. Przy ważności skracanej z 90 do 45 dni jedyne sensowne podejście to działający auto-renew plus monitoring daty wygaśnięcia. A jeśli kłódka znika po migracji, w pierwszej kolejności sprawdź mieszaną zawartość i zgodność domeny z certyfikatem. Zadbany SSL jest niewidoczny — i właśnie o to chodzi.
Źródła i dalsza lektura
Źródła
- Let's Encrypt: Decreasing Certificate Lifetimes to 45 Days letsencrypt.org
- Let's Encrypt: FAQ (validity, wildcard, DNS-01) letsencrypt.org
- MDN Web Docs: Mixed content developer.mozilla.org


