Poradniki · 12 min czytania

Dlaczego SSL i HSTS to teraz sprawa AI, nie tylko bezpieczeństwa

Klient pyta ChatGPT „czy ten sklep jest wiarygodny?". Agent sprawdza opisy, dane firmy, opinie — ale po drodze może trafić na prosty problem: HTTP, błąd certyfikatu, brak HSTS. Dla człowieka „brak kłódki". Dla systemu, który ma nie prowadzić w ryzykowne miejsce, powód do ostrożności.

Zespół AuditAI
Redakcja · auditai.cc
6 maja 202612 minValue score 9.0/10
Ciemny panel audytu bezpieczeństwa pokazuje certyfikat SSL, HSTS i sygnały zaufania czytane przez asystenta AI.
Direct Answer

Jeśli Twoja strona ma HTTP, wygasający certyfikat SSL albo brak HSTS, napraw to przed schema.org i llms.txt, bo agent AI może nie ufać stronie, której przeglądarka oznacza jako ryzykowną.

W praktyce sprawdź HTTPS, datę wygaśnięcia certyfikatu, HSTS max-age, CSP, nosniff, ochronę przed iframe i politykę prywatności.

Wzór do skopiowania: „Jeśli moja strona ma [HTTP / brak HSTS / wygasający SSL], najpierw naprawiam [HTTPS + certyfikat / HSTS / nagłówki], bo AI i przeglądarki potrzebują bezpiecznego kanału. W praktyce sprawdzam URL, certyfikat, nagłówki HTTP, stronę polityki prywatności."

Klient pyta ChatGPT: „czy ten sklep z suplementami jest wiarygodny?". Agent sprawdza opis produktu, dane firmy, opinie, ale po drodze może trafić na prosty problem: strona działa przez HTTP albo ma błąd certyfikatu. Dla człowieka to „brak kłódki". Dla systemu, który ma nie prowadzić użytkownika w ryzykowne miejsce, to powód do ostrożności.

Dlaczego to ważne w 2026

SSL nie jest już tylko dodatkiem do formularza płatności. W 2026 strona konkuruje nie tylko o kliknięcie w Google, ale też o miejsce w odpowiedzi AI: w ChatGPT, Gemini, Perplexity, Claude lub w agentach zakupowych.

Google już w 2014 roku potwierdził HTTPS jako lekki sygnał rankingowy. Chrome idzie dalej: według Google Security Blog od października 2026 Chrome 154 ma domyślnie ostrzegać użytkownika przed pierwszym wejściem na publiczną stronę bez HTTPS.

95–99%

nawigacji w Chrome używa HTTPS — publiczny sklep na HTTP wygląda jak wyjątek.

Źródło: Google Security Blog, 2026
7

kontroli Security w AuditAI: HTTPS, SSL expiry >30 dni, HSTS, CSP, nosniff, X-Frame-Options, Referrer-Policy, CORS.

Źródło: AuditAI checkpoint registry, kategoria 5

To nie znaczy, że OpenAI, Anthropic albo Google opublikowały tabelę „brak HSTS = minus 15 punktów". Tego nie ma. Sens jest praktyczny: jeśli strona jest trudna do bezpiecznego pobrania, ma błąd certyfikatu albo miesza HTTP z HTTPS, staje się gorszym kandydatem na źródło odpowiedzi.

Czym to różni się od klasycznego bezpieczeństwa

Klasyczne podejście mówi: SSL chroni płatność, formularz i hasło klienta. Podejście AI-ready mówi: SSL, HSTS i nagłówki bezpieczeństwa pokazują agentowi, że strona jest stabilnym, bezpiecznym i przewidywalnym źródłem danych.

SEO · pytanie

Czy Google może zaindeksować stronę?

AI · pytanie

Czy agent może bezpiecznie pobrać stronę, zrozumieć ją i polecić użytkownikowi bez dokładania ryzyka?

Przykład z e-commerce: sklep z kosmetykami ma dobre opisy i Product schema, ale certyfikat wygasa za 6 dni. Człowiek może tego nie zauważyć. Automatyczny audyt powinien oznaczyć to jako ryzyko.

Przykład z usług: salon fizjoterapii ma formularz rezerwacji na HTTP. Agent może znaleźć ofertę, ale nie powinien zachęcać użytkownika do wpisania telefonu i opisu problemu zdrowotnego w niezabezpieczonym formularzu.

Krok po kroku: co sprawdzić najpierw

Siedem konkretnych kontroli w kolejności, którą zalecamy w audycie. Każdy krok pokazuje wersję „Słabo" i „Lepiej" — i gotowy snippet do skopiowania, jeśli ma zastosowanie.

  1. Sprawdź, czy każda ważna podstrona działa przez HTTPS
    Słabo
    Mamy SSL, bo strona główna ma kłódkę.
    Lepiej
    Strona główna, koszyk, płatność, kontakt, regulamin, polityka prywatności i 10 najważniejszych produktów odpowiadają przez HTTPS bez ostrzeżeń.

    W sklepie z obuwiem sprawdź minimum: /, kategoria butów, karta produktu, koszyk, checkout. W gabinecie dentystycznym: /, cennik, usługi, kontakt, rezerwacja.

    nginx · redirect 80 → 443
    server {
listen 80;
server_name twojadomena.pl www.twojadomena.pl;
return 301 https://$host$request_uri;
}

    Ten fragment przekierowuje ruch HTTP na HTTPS w Nginx. Nie zastępuje certyfikatu, tylko wymusza bezpieczny adres.

  2. Sprawdź datę wygaśnięcia certyfikatu SSL
    Słabo
    Certyfikat kiedyś był ustawiony przez hosting.
    Lepiej
    Certyfikat wygasa za więcej niż 30 dni, a odnowienie jest automatyczne.

    AuditAI checkpoint 5.1 ostrzega, gdy certyfikat wygasa w mniej niż 30 dni. Dla sklepu z suplementami błąd SSL w weekend może zablokować kampanię i sprzedaż. Dla kancelarii rachunkowej — formularz kontaktowy z danymi firmy.

    Na hostingach typu LH.pl, home.pl, cyber_Folks albo nazwa.pl szukaj sekcji „SSL", „certyfikaty", „Let's Encrypt". Cel: auto-renew ON.

  3. Włącz HSTS dopiero wtedy, gdy HTTPS działa wszędzie
    Słabo
    Dodajemy HSTS, bo jest w poradniku.
    Lepiej
    Najpierw sprawdzamy wszystkie podstrony i subdomeny, potem włączamy HSTS z max-age=31536000.

    HSTS, czyli Strict-Transport-Security, mówi przeglądarce, że dana domena ma być otwierana tylko przez HTTPS. Po wdrożeniu przeglądarka nie pozwala użytkownikowi ominąć błędów certyfikatu.

    nginx · HSTS header
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    Nie włączaj includeSubDomains

    , jeśli masz starą subdomenę na HTTP, np. panel.twojadomena.pl. Najpierw ją napraw albo wyłącz. HSTS jest dobrym zabezpieczeniem, ale źle wdrożony potrafi odciąć część ruchu.

  4. Dodaj Content-Security-Policy w trybie Report-Only
    Słabo
    Nie mamy CSP, bo może coś zepsuć.
    Lepiej
    Najpierw uruchamiamy CSP Report-Only przez 7 dni, sprawdzamy błędy, potem włączamy właściwą politykę.

    CSP nie jest stricte o AI, ale mówi dużo o higienie strony. Sklep ładujący skrypty z 18 losowych domen, iframe z porzuconego pluginu i stare widgety daje agentowi szum, a użytkownikowi ryzyko.

    nginx · CSP Report-Only
    add_header Content-Security-Policy-Report-Only "default-src 'self'; img-src 'self' data: https:; script-src 'self'; report-uri /csp-report" always;

    Dla sklepu z kosmetykami wyjątkiem mogą być bramki płatności, system opinii i mailing. Dla salonu beauty: kalendarz, mapa, widget opinii. Spisz je, zanim zaczniesz blokować.

  5. Dodaj trzy małe nagłówki: nosniff, frame protection, referrer
    Słabo
    Mamy SSL, reszta nie ma znaczenia.
    Lepiej
    Dodajemy X-Content-Type-Options: nosniff, ochronę przed osadzaniem w iframe i Referrer-Policy.

    Te nagłówki rzadko są tematem rozmowy z właścicielem sklepu, ale w audycie są szybkie do sprawdzenia i zwykle szybkie do naprawy.

    nginx · trzy nagłówki
    add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

    nosniff ogranicza błędne interpretowanie typów plików. X-Frame-Options zmniejsza ryzyko clickjackingu. Referrer-Policy kontroluje, ile informacji o adresie strony przekazujesz dalej.

  6. Uporządkuj politykę prywatności i dane firmy
    Słabo
    Polityka prywatności jest w stopce, chyba jeszcze z szablonu.
    Lepiej
    Polityka prywatności ma aktualną datę, dane administratora, listę narzędzi, podstawę kontaktu i link z każdej podstrony.

    Agent AI nie ocenia wiarygodności tylko po certyfikacie. Patrzy też na sygnały, które dla człowieka są oczywiste: czy firma podaje dane, czy jest regulamin, czy wiadomo, kto odpowiada za formularz.

    Dla sklepu meblowego ważne będą dane sprzedawcy, zasady zwrotu i dostawy. Dla fizjoterapeuty: administrator danych, cel zbierania telefonu, sposób kontaktu i informacja o rezerwacji.

  7. Sprawdź CORS, jeśli masz aplikację, API albo panel klienta
    Słabo
    CORS ustawiony na gwiazdkę, bo wtedy wszystko działa.
    Lepiej
    API dopuszcza tylko konkretne domeny i metody, których naprawdę używasz.

    CORS ma największe znaczenie dla SaaS, integracji, kalkulatorów i paneli klienta. Jeśli w przyszłości agent ma wywołać endpoint, np. sprawdzić termin albo pobrać status zamówienia, API musi być dostępne, ale nie przypadkowo otwarte dla każdego.

    nginx · CORS dla /api/
    location /api/ {
add_header Access-Control-Allow-Origin "https://twojadomena.pl" always;
add_header Access-Control-Allow-Methods "GET, POST, OPTIONS" always;
}

    Sklep bez publicznego API może zostawić CORS na później. Aplikacja SaaS albo system rezerwacji powinien sprawdzić to od razu.

Gotowy schemat audytu SSL + HSTS

Skopiuj tę tabelę do dokumentu i uzupełnij dla swojej strony.

| Element | Minimum | Kiedy poprawiać natychmiast | | -------------------- | ------------------------------------------ | ------------------------------------------------ | | HTTPS | każda ważna podstrona działa bez ostrzeżeń | strona działa po HTTP | | SSL expiry | certyfikat ważny ponad 30 dni | mniej niż 30 dni albo błąd certyfikatu | | HSTS | max-age=31536000 po pełnym teście HTTPS | brak HSTS po wdrożeniu HTTPS | | CSP | najpierw Report-Only, potem enforced | brak kontroli skryptów na stronie z formularzami | | Polityka prywatności | aktualna i linkowana w stopce | pusty szablon albo brak strony |

Checklista do wdrożenia

18 punktów do interaktywnego odhaczenia. Klikaj — to lista do pracy, nie do czytania.

Checklista wdrożenia SSL + HSTS · 0/18 zrobione
  • Strona główna działa przez HTTPS.
  • http://twojadomena.pl przekierowuje na https://twojadomena.pl.
  • www i bez www prowadzą do jednej wersji.
  • Certyfikat SSL nie wygasa w ciągu 30 dni.
  • Auto-renew certyfikatu jest włączony w hostingu.
  • Nie ma błędu „Not Secure" w Chrome.
  • Nie ma mixed content (obrazków/skryptów ładowanych przez HTTP).
  • HSTS jest dodany dopiero po sprawdzeniu całej strony.
  • HSTS ma max-age minimum 31 536 000 sekund.
  • includeSubDomains jest użyte tylko gdy subdomeny też mają HTTPS.
  • CSP działa najpierw w trybie Report-Only.
  • X-Content-Type-Options ma wartość nosniff.
  • Strona ma ochronę przed iframe (X-Frame-Options lub frame-ancestors).
  • Referrer-Policy nie ujawnia pełnych adresów bez potrzeby.
  • Polityka prywatności jest aktualna i dostępna ze stopki.
  • Formularz kontaktowy i checkout działają tylko przez HTTPS.
  • API/formularze rezerwacji nie mają przypadkowego Access-Control-Allow-Origin: *.
  • Po zmianach uruchomiono audyt na telefonie i desktopie.

Mini-plan na 7 dni

Tydzień, 7 kontroli, jedna dziennie. Każdy krok ma wynik widoczny tego samego dnia.

  1. Sprawdź 10 najważniejszych URL-i: stronę główną, produkt/usługę, koszyk lub formularz, kontakt, politykę prywatności.

  2. Włącz lub odnów certyfikat SSL i przekierowanie HTTP → HTTPS.

  3. Usuń mixed content — stare adresy http:// w obrazkach, skryptach i linkach.

  4. Włącz HSTS bez preload; includeSubDomains dodaj tylko po sprawdzeniu subdomen.

  5. Dodaj nosniff, X-Frame-Options i Referrer-Policy.

  6. Uruchom CSP w trybie Report-Only i zapisz, które zewnętrzne usługi faktycznie są potrzebne.

  7. Zaktualizuj politykę prywatności i uruchom audyt AI-ready na auditai.cc.

Najczęstsze błędy

Certyfikat działa tylko dla www

Sklep linkuje wersję bez www, a certyfikat obejmuje tylko subdomenę. Efekt: część wejść trafia na błąd albo dodatkowy redirect.

Naprawa: wystaw certyfikat dla obu wariantów (Let's Encrypt: -d twojadomena.pl -d www.twojadomena.pl) i ustal jedną wersję kanoniczną w 301.

HSTS z includeSubDomains przy starej subdomenie na HTTP
zła wersja · HSTS preload na surowej domenie
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Ten nagłówek jest zły, jeśli blog.twojadomena.pl albo panel.twojadomena.pl nadal działa tylko przez HTTP — odetnie część ruchu w przeglądarkach.

Polityka prywatności jest ukryta albo nieaktualna

Jeśli agent ma polecić formularz rezerwacji, a strona nie mówi, kto zbiera dane — sygnał zaufania jest słaby. Aktualizuj sekcję raz na 6 miesięcy: administrator, cele, narzędzia, podstawa prawna kontaktu.

CSP od razu w trybie blokującym

Lepiej zacząć od Content-Security-Policy-Report-Only — inaczej możesz wyłączyć płatności, mapę albo widget opinii bez świadomego testu.

Jak mierzyć efekty

Nie licz tylko pozycji w Google. W tym temacie ważne są sygnały techniczne i operacyjne:

  • czy audyt Security przechodzi z F/C na A lub A+;
  • czy w logach serwera nie rośnie liczba błędów 3xx/4xx po wymuszeniu HTTPS;
  • czy formularze i checkout działają po przekierowaniu z HTTP;
  • liczba komunikatów o błędach SSL w narzędziach hostingu;
  • alert 30 dni przed końcem certyfikatu (Let's Encrypt, Cloudflare, monitoring).

Dla kogo to nie jest priorytet

Nie zaczynaj od HSTS preload, jeśli masz rozproszoną infrastrukturę i nie wiesz, które subdomeny nadal działają po HTTP. Nie zaczynaj od ostrego CSP, jeśli checkout zależy od wielu zewnętrznych skryptów i nie masz środowiska testowego.

Masz prostą wizytówkę bez formularzy? Najpierw HTTPS, certyfikat i polityka prywatności. CSP i CORS mogą poczekać kilka dni. Masz sklep, rezerwacje, płatności albo konto klienta? Nie odkładaj tego.

FAQ

Czy AI naprawdę sprawdza certyfikat SSL?
Publiczne dokumentacje modeli zwykle nie opisują takiego prostego scoringu. Praktycznie jednak crawler lub agent musi pobrać stronę bezpiecznie. Jeśli certyfikat jest błędny, wygasły albo strona działa tylko po HTTP, rośnie ryzyko, że system pominie stronę albo potraktuje ją jako mniej wiarygodne źródło.
Czy HSTS jest wymagany dla małego sklepu?
Nie jest wymagany prawnie jako osobna funkcja, ale jest dobrym standardem technicznym po wdrożeniu HTTPS. W AuditAI ma własny checkpoint, bo zmniejsza ryzyko powrotu do niezabezpieczonego HTTP.
Czy sama kłódka w przeglądarce wystarczy?
Nie. Kłódka mówi, że połączenie jest szyfrowane, ale nie mówi, czy certyfikat nie wygasa za tydzień, czy HSTS działa, czy strona ma bezpieczne nagłówki i aktualną politykę prywatności.
Czy mogę zrobić to bez programisty?
HTTPS i auto-renew często da się włączyć w panelu hostingu. HSTS, CSP i dodatkowe nagłówki zależą od hostingu, Cloudflare albo serwera. Jeśli nie masz dostępu do konfiguracji, wyślij administratorowi konkretną checklistę z tego artykułu.

Podsumowanie

SSL i HSTS nie zastąpią dobrych opisów produktów, schema.org ani treści FAQ. Są jednak fundamentem: bez bezpiecznego kanału agent AI ma mniej powodów, żeby ufać stronie i prowadzić użytkownika dalej.

Zacznij od HTTPS, certyfikatu ważnego ponad 30 dni i HSTS, a dopiero potem dopracuj CSP i pozostałe nagłówki. Jeśli chcesz sprawdzić, które elementy blokują wynik — uruchom audyt na auditai.cc.

Źródła

Cytowane dane pochodzą z publicznych dokumentacji i własnego rejestru checkpointów AuditAI:

Google Security Blog — HTTPS by defaultblog.google/security/https-by-defauGoogle Search Central — HTTPS as a ranking signaldevelopers.google.com/search/blog/2014/08/https-as-ranking-signalMDN — Strict-Transport-Security headerdeveloper.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Strict-Transport-SecurityMDN — Secure contextsdeveloper.mozilla.org/en-US/docs/Web/Security/Secure_ContextsAuditAI — checkpoint registry, kategoria 5 Security.agents/reference/checkpoint-registry.mdAuditAI — security analyzer sourcesrc/lib/analyzers/security.ts
Czytaj dalej
Podzielony ekran sklepu pokazuje bogaty widok dla człowieka i uproszczoną strukturę HTML czytaną przez AI.
PoradnikiHuman vs AI: co naprawdę widzi ChatGPT, gdy wchodzi na Twój sklep
6 maja 202612 min czytania
Cztery świetliste tarcze PrestaShop, WooCommerce, Shoper i Shopify na ciemnej scenie emitują fioletowe promienie danych do asystenta AI.
PoradnikiPrestaShop vs WooCommerce vs Shoper vs Shopify: która platforma najlepiej rozmawia z AI?
6 maja 202615 min czytania
Karty pytań i odpowiedzi połączone z grafem danych strukturalnych, z których asystent AI wybiera jedną odpowiedź.
Structured DataFAQ Schema + Answer Capsules: jak być cytowanym przez AI w odpowiedziach
6 maja 202613 min czytania

Sprawdź, czy AI cytuje Twoją stronę

Audyt AI-ready w 60 sekund: GEO, llms.txt, Schema, struktura treści. Powiemy, co konkretnie naprawić — i w jakiej kolejności.

Uruchom bezpłatny audyt
60 sekundBez rejestracji50 checkpointów