Certyfikat SSL a pozycjonowanie — jak HTTPS wpływa na SEO w Google | WebMajka
Certyfikat SSL a pozycjonowanie — od kiedy to w ogóle działa
W sierpniu 2014 roku Google na oficjalnym blogu ogłosiło, że HTTPS staje się sygnałem rankingowym. Zainicjowała tę zmianę kampania „HTTPS Everywhere”, a dokładniej artykuł Zineba Ait Bahajji i Gary'ego Illyesa z Google, którzy jasno napisali — sygnał jest na początku „słaby”, dotyczy niecałego 1% globalnych zapytań, ale w przyszłości jego waga będzie rosnąć. I rosła. W 2017 Chrome zaczął oznaczać strony HTTP jako „niebezpieczne”, w 2018 oznaczenie rozszerzono na wszystkie strony bez szyfrowania, a w 2020 Chrome zaczął blokować pobieranie plików z mixed content. Dziś, w 2026 roku, strona bez HTTPS nie istnieje w świadomości użytkownika — przeglądarka krzyczy na nią czerwoną kłódką, a Google traktuje brak SSL jak sygnał niskiej jakości serwisu. Zobaczmy, jak dokładnie SSL wpływa na pozycje w wyszukiwarce i co zrobić, jeśli jeszcze działasz na HTTP.
Czym technicznie jest certyfikat SSL — w 2 minuty
SSL (Secure Sockets Layer) to historyczna nazwa protokołu szyfrowania komunikacji między przeglądarką a serwerem. W 2026 praktycznie nikt nie używa już właściwego SSL — obecny standard to TLS 1.3 (i przejściowo 1.2), ale nazwa „SSL” przylgnęła do całej kategorii. Certyfikat to plik cyfrowy podpisany przez zaufany urząd certyfikacji (CA — Certificate Authority), który potwierdza, że witryna faktycznie jest tym, za kogo się podaje. W praktyce działa to tak: klient (przeglądarka) łączy się z serwerem, serwer pokazuje certyfikat, klient sprawdza go w łańcuchu zaufania (CA → Root), jeśli wszystko się zgadza — ustalają wspólny klucz sesji i szyfrują całą komunikację. Bez SSL login, hasło, dane karty i cała treść strony lecą po sieci jawnym tekstem, co każdy pośrednik (ISP, administrator sieci publicznej, atakujący w kawiarni) może przeczytać. Szczegółowo o samym wdrożeniu pisaliśmy w poradniku jak włączyć certyfikat SSL w WordPress.
SSL a pozycjonowanie — jak duży to czynnik rankingowy
Tu warto być uczciwym — SSL sam w sobie nie wyniesie Cię z pozycji 50 na 3. To jeden z ponad 200 sygnałów, które Google bierze pod uwagę, i nie jest wśród najmocniejszych. Ale działa inaczej — nie jako bonus, tylko jako próg minimalny. Strona bez HTTPS w 2026 zachowuje się jak strona bez meta description — Google ją zindeksuje, może nawet dobrze oceni treść, ale nigdy nie wyświetli jej w konkurencyjnym zapytaniu wyżej niż konkurenta z SSL. To zasada bardzo widoczna w analizach top 10 SERP — dla fraz komercyjnych praktycznie 100% wyników ma HTTPS. Badania Backlinko z 2023 na milionie wyników pokazały, że strony HTTPS zajmują średnio o 2,3 pozycji wyżej niż HTTP w tych samych niszach. Ahrefs potwierdza — w top 100 wyników procent stron z HTTPS rośnie z roku na rok i przekroczył 97%. Reszta to głównie zapomniane wpisy blogowe sprzed 2014.
HTTPS a zaufanie użytkownika — czynnik behawioralny
Google od lat patrzy na sygnały behawioralne — czas spędzony na stronie, współczynnik odrzuceń, powrót do wyników (pogo-sticking), CTR z SERP. Strona bez HTTPS przegrywa tu wszystkie te wskaźniki z góry. Chrome i Firefox pokazują przy niej wyraźny komunikat „Niezabezpieczona”, a w niektórych scenariuszach (formularze z hasłem) wręcz interstitial ostrzegający użytkownika. Średni spadek CTR dla strony HTTP w Chrome oszacowano na 12–18% (badanie SEMrush 2022) — to w praktyce oznacza, że Twoja strona na pozycji 3 z HTTPS zbierze więcej kliknięć niż konkurent na pozycji 1 z HTTP. Dodaj do tego wpływ na konwersje w sklepach internetowych — klient widzący czerwoną kłódkę przy wpisywaniu numeru karty zamyka kartę przeglądarki i szuka dalej. Przy tworzeniu sklepów internetowych traktujemy HTTPS jako absolutny baseline — brak certyfikatu to brak projektu.
Core Web Vitals a SSL — czy szyfrowanie spowalnia stronę?
Mit, który pokutuje od lat — że SSL spowalnia ładowanie. Kiedyś, przy SSL 3.0 i TLS 1.0, faktycznie dochodziły dodatkowe round-tripy (dodatkowe wymiany pakietów) do nawiązania połączenia, co dodawało 100–300 ms. W 2026 roku jest odwrotnie — HTTP/2 i HTTP/3 wymagają szyfrowania (TLS) do działania. Czyli strona HTTP nie może korzystać z najszybszych protokołów transportowych, a strona HTTPS tak. W praktyce HTTPS jest szybszy niż HTTP na nowoczesnych serwerach, bo korzysta z multiplexingu, kompresji nagłówków i 0-RTT TLS 1.3. Efekt — metryki Core Web Vitals (LCP, CLS, INP) są lepsze dla HTTPS. A Core Web Vitals to od 2021 czynnik rankingowy. Domykając pętlę — SSL poprawia ranking trzema kanałami: bezpośrednim sygnałem SEO, lepszym CTR, lepszymi Core Web Vitals.
Let's Encrypt vs płatne certyfikaty — co wybrać
To pytanie, które klienci zadają nam regularnie. Podział jest prosty — certyfikaty różnią się trzema cechami: poziomem walidacji, pokryciem (single domain / wildcard / multi-domain) i gwarancją finansową CA. Let's Encrypt to darmowy urząd certyfikacji uruchomiony w 2015, dający certyfikaty typu DV (Domain Validation) — najprostsze, potwierdzające tylko, że wnioskodawca kontroluje domenę. Większość firm hostingowych instaluje Let's Encrypt jednym kliknięciem (cPanel, DirectAdmin, Plesk), a certyfikat odnawia się automatycznie co 90 dni. Dla 90% projektów Let's Encrypt jest w zupełności wystarczający — blog, wizytówka, mała firma, sklep do średniej wielkości. Płatne certyfikaty (DigiCert, Sectigo, GlobalSign) zaczynają mieć sens przy walidacji OV (Organization Validation) i EV (Extended Validation), które potwierdzają tożsamość firmy, nie tylko domeny. Dla banku, dużej platformy e-commerce, serwisu z danymi medycznymi — tak. Dla typowej firmy lokalnej — przepłacasz. W obu przypadkach wpływ na SEO jest identyczny — Google nie rozróżnia DV od EV w rankingu.
Porównanie — typy certyfikatów SSL w 2026
| Typ | Walidacja | Cena roczna | Czas wydania | Dla kogo |
|---|---|---|---|---|
| Let's Encrypt DV | Domeny | 0 zł | 1–10 min | Blog, mała firma, SaaS |
| Standard DV (płatny) | Domeny | 50–150 zł | Minuty | Gdy hosting nie daje Let's Encrypt |
| OV | Organizacja | 400–800 zł | 1–3 dni | Średnia firma, B2B |
| EV | Rozszerzona (firma + dokumenty) | 800–2000 zł | 5–10 dni | Banki, instytucje finansowe |
| Wildcard DV | Domeny + subdomeny | 0 zł (Let's Encrypt) lub 300+ | Minuty | Projekt z wieloma subdomenami |
| Multi-domain (SAN) | Wiele domen | 500+ zł | Minuty | Właściciel kilku powiązanych marek |
Dla typowego biznesu rekomendacja jest prosta — zacznij od Let's Encrypt, przejdź na płatny tylko wtedy, gdy masz konkretny powód (wymóg prawny, zamówienie instytucjonalne, klienci pytający o „zielony pasek” — ten jednak od 2019 znika z przeglądarek nawet przy EV).
Migracja z HTTP na HTTPS — krok po kroku
Jeśli jeszcze działasz na HTTP, migracja jest obowiązkowa i trzeba ją zrobić dobrze, bo źle przeprowadzona potrafi zbić ruch z Google o 30–50% na miesiące. Kolejność jest taka:
- Zakup lub włączenie certyfikatu — w cPanel Let's Encrypt instaluje się jednym kliknięciem w sekcji „SSL/TLS Status”
- Audyt treści — znajdź wszystkie linki wewnętrzne, obrazy, skrypty, CSS ładowane z
http://twojadomena.pli popraw nahttps://lub ścieżki względne; narzędzie Screaming Frog lub darmowy SSL Insecure Content Fixer pomaga wykryć mixed content - Aktualizacja bazy danych — w WordPress wystarczy plugin Better Search Replace, który zmienia wszystkie wystąpienia starego URL na nowy; ręcznie z SQL-a można zrobić
UPDATE wp_options SET option_value = REPLACE(...) - Przekierowanie 301 z HTTP na HTTPS w
.htaccess(Apache) lubnginx.conf(Nginx) — o tym pisaliśmy szczegółowo w artykule jak zrobić przekierowanie HTTPS - Aktualizacja Search Console — dodaj nową właściwość z HTTPS, zrób re-submit sitemap, zostaw starą właściwość HTTP na pół roku dla monitorowania spadków
- Aktualizacja Google Analytics — zmień ustawienia domyślne adresu URL na HTTPS
- Aktualizacja linków zewnętrznych — napisz do partnerów, katalogów, właścicieli linków zwrotnych z prośbą o aktualizację (odzyskasz trochę link equity, choć 301 przenosi większość)
- Testy mixed content — narzędzie Why No Padlock? albo DevTools Chrome (Console) pokazują elementy ładowane nadal przez HTTP
Całość zajmuje w małej firmie kilka godzin, w dużym serwisie — dzień do dwóch. Efekty widać w Search Console w ciągu 2–4 tygodni.
HSTS i inne zaawansowane ustawienia HTTPS
Po podstawowej migracji warto zrobić kilka dodatkowych kroków, które wzmocnią SEO i bezpieczeństwo. HSTS (HTTP Strict Transport Security) to nagłówek mówiący przeglądarce — „odtąd zawsze łącz się z tą domeną po HTTPS, nawet jeśli użytkownik wpisze http://”. Bez HSTS pierwsza wizyta nadal leci po HTTP, co teoretycznie można zaatakować. Drugi krok — preload list — zgłoszenie domeny do Google, żeby HSTS był zaszyty w samej przeglądarce Chrome. Trzeci — HTTP/3 (QUIC) — najnowszy protokół transportowy, wymaga HTTPS, dostępny w większości hostingów w 2026. Dla najbardziej zaawansowanych — Certificate Transparency logs i CAA records w DNS, kontrolujące, kto może wydać certyfikat dla Twojej domeny. To nie są rzeczy, które widzi użytkownik końcowy, ale składają się na pełen obraz technicznego SEO, o którym piszemy też w kontekście najczęstszych błędów SEO.
Częste błędy przy migracji HTTPS
Przez naszą praktykę przy pozycjonowaniu stron w Kielcach widzieliśmy dziesiątki nieudanych migracji. Top błędów: brak 301 — strony HTTP i HTTPS działają równolegle, Google widzi duplikację treści, dzieli link equity na pół. Mixed content — strona HTTPS ładująca obrazek z http:// — przeglądarka blokuje, kłódka znika, użytkownicy tracą zaufanie. Przekierowanie łańcuchowe — HTTP → HTTPS non-www → HTTPS www zamiast HTTP → HTTPS www od razu, co marnuje crawl budget. Zapomniane canonical — meta canonical wciąż wskazuje na HTTP, Google się gubi. Niedeklarowanie HTTPS w sitemap — sitemap.xml listuje URL-e HTTP, Google dostaje sprzeczne sygnały. Brak aktualizacji hardkodowanych linków w treści — w 146 artykułach blogowych zostały linki do http://własnadomena.pl/..., tworząc wewnętrzne przekierowania, które zjadają crawl. Dobra migracja to przede wszystkim checklista odhaczona w całości, nie kliknięcie „Include SSL”.
Czy warto inwestować w EV/OV jeśli chodzi tylko o SEO?
Krótka odpowiedź — nie. Google potwierdziło wielokrotnie (m.in. John Mueller w 2018 i 2021), że nie rozróżnia typów walidacji dla celów rankingu. Dla algorytmu liczy się sam fakt istnienia ważnego, zaufanego certyfikatu. Różnica między DV a EV jest wyłącznie wizualna i instytucjonalna — klient widzący w pasku adresu nazwę firmy (kiedyś zielony pasek, dziś tylko przy kliknięciu kłódki) może poczuć większe zaufanie, ale to efekt marketingowy, nie SEO. Wyjątek — branże regulowane. Bank, broker finansowy, klinika medyczna — tam certyfikat OV/EV jest często wymogiem audytu, nie wyborem. Dla typowej firmy lokalnej, sklepu, bloga, SaaS — Let's Encrypt działa tak samo skutecznie w Google jak certyfikat za 2000 zł rocznie.
Podsumowanie — SSL jako fundament, nie dodatek
Certyfikat SSL a pozycjonowanie — relacja jest dziś jednoznaczna. Nie chodzi o to, że HTTPS daje spektakularny boost w rankingu, tylko o to, że brak HTTPS wyklucza z gry. Google, Chrome, Firefox, Safari zmieniły internet tak, że strona bez certyfikatu w 2026 roku wygląda jak opuszczony sklep z zabitymi oknami — nikt nie wchodzi, nawet jeśli w środku jest świetny towar. Dobra wiadomość — Let's Encrypt sprawił, że koszt techniczny uruchomienia SSL spadł do zera, a praktycznie każdy porządny hosting instaluje certyfikat jednym kliknięciem. Zostaje już tylko zrobić migrację poprawnie, włączyć HSTS, wyczyścić mixed content i regularnie sprawdzać, czy certyfikat się odnawia. Jeśli prowadzisz firmę i jeszcze zastanawiasz się, czy warto — nie zastanawiaj się. To nie jest kwestia „czy”, tylko „kiedy to zrobisz”. A im szybciej, tym więcej ruchu z Google odzyskasz.
