HTTPS и SSL-сертификат для сайта: зачем нужны и как настроить для SEO

Зачем нужен HTTPS, что такое SSL и как пройти переход на HTTPS — три ключевых вопроса для любого бизнес-сайта. HTTPS — защищённая версия протокола HTTP, через которую браузер (Google Chrome, Яндекс.Браузер) обменивается данными с сайтом в зашифрованном виде. SSL-сертификат — техническое условие работы HTTPS, документ, подтверждающий подлинность домена и обеспечивающий шифрование. Переход с HTTP на HTTPS — обязательное условие для любого современного сайта: без HTTPS браузеры показывают предупреждения о небезопасном соединении, поисковые системы понижают сайт в выдаче, пользователи теряют доверие.

Что такое HTTPS и SSL-сертификат

HTTPS (HyperText Transfer Protocol Secure) — расширение протокола HTTP, в котором данные между браузером и сервером передаются в зашифрованном виде. Шифрование основано на криптографических протоколах SSL (Secure Sockets Layer) или его современном развитии TLS (Transport Layer Security). Что такое HTTPS на практике: тот же HTTP, но с защитой от перехвата данных третьими лицами.

SSL-сертификат — цифровой документ, который удостоверяет подлинность сайта и предоставляет ключи для шифрования. Выдаётся специальным удостоверяющим центром (Certificate Authority, CA) после проверки прав владельца на домен. Без действующего SSL-сертификата сайт не может работать по HTTPS — браузер откажется устанавливать защищённое соединение.

Технически SSL уже устарел и заменён на TLS, но в индустрии прижилось название «SSL-сертификат» — оно используется как синоним «TLS-сертификата». Современные сертификаты поддерживают TLS 1.2 и TLS 1.3 (актуальная версия), хотя в названии остаётся «SSL».

HTTPS — не опция, а обязательное условие работы сайта. Браузеры маркируют сайты на HTTP как «небезопасные», поисковики понижают их в выдаче, пользователи отказываются вводить данные в формы.

Зачем HTTPS нужен сайту

Вопрос «зачем HTTPS на сайте» сводится к шести причинам, каждая из которых сама по себе достаточна для перехода.

Причин для перехода на HTTPS несколько, и каждая по отдельности достаточна для решения:

HTTPS — фактор ранжирования. Google официально включил HTTPS в факторы ранжирования ещё в августе 2014 года. Яндекс не выделяет HTTPS как явный фактор, но учитывает его через сигналы доверия и ИКС. Сайт на HTTP в коммерческой выдаче проигрывает аналогичному на HTTPS при прочих равных.
Предупреждения браузеров. Chrome, Firefox, Safari, Edge с 2018 года показывают пометку «Не защищено» в адресной строке для сайтов на HTTP. Формы ввода паролей и платёжных данных на HTTP-страницах помечаются красным предупреждением, которое отпугивает пользователей.
Защита данных пользователей. Без HTTPS все данные передаются открытым текстом и могут быть перехвачены в публичных Wi-Fi сетях, через провайдеров, через скомпрометированные узлы. Формы регистрации, авторизации, заказа, контактные формы — всё это уязвимо без HTTPS.
Доступ к современным API браузеров. Geolocation API, Service Workers, Push-уведомления, доступ к камере и микрофону — все эти возможности требуют HTTPS. Без него современный функционал недоступен.
Доверие к домену. Зелёный замок в адресной строке — устоявшийся визуальный сигнал безопасности. Пользователи воспринимают его как стандарт.
Возможность подключения к платёжным системам. Большинство платёжных шлюзов (Stripe, PayPal, ЕРИП через банки) требуют HTTPS для возврата пользователя на сайт после оплаты. Без HTTPS — невозможен приём онлайн-платежей.

Стоимость отсутствия HTTPS — реальная потеря трафика и конверсии. Большинство пользователей закрывают вкладку сразу после предупреждения браузера. Для коммерческого сайта это означает падение поисковой видимости и отказ от заявок с форм.

Типы SSL-сертификатов

SSL-сертификаты различаются по уровню верификации владельца и по охвату доменов.

DV — Domain Validation. Самый простой и быстрый тип. Удостоверяющий центр проверяет только то, что заявитель управляет доменом (через подтверждающий email или DNS-запись). Не верифицирует юридическое лицо. Выдаётся за 5–15 минут после оплаты. Подходит для большинства сайтов: блогов, сайтов услуг, средних интернет-магазинов. Полное шифрование как у дорогих сертификатов — единственное отличие в визуализации в браузере.

OV — Organization Validation. Удостоверяющий центр проверяет существование юридического лица и его связь с доменом. Требует предоставления документов компании (выписка из ЕГРЮЛ или из ЕГР (Единый государственный регистр) в РБ). Выдаётся за 1–5 рабочих дней. Подходит для бизнес-сайтов, где важна верификация компании. Информация о юрлице доступна при клике на иконку замка в браузере.

EV — Extended Validation. Максимальный уровень верификации. Удостоверяющий центр проводит расширенную проверку юридического лица, физического адреса, права подписи. Выдаётся за 1–2 недели. Раньше в браузерах отображался зелёной полосой с названием компании, но с 2019 года Chrome и Firefox упразднили эту визуализацию. Подходит для финансовых организаций, крупных интернет-магазинов, корпоративных сайтов с высокими требованиями к доверию.

Охват доменов

По охвату сертификаты делятся на три типа:

Single Domain. Защищает один домен (например, site.by). Самый простой вариант.
Wildcard. Защищает основной домен и все его поддомены (*.site.by: blog.site.by, shop.site.by и так далее). Удобно для проектов с несколькими поддоменами.
Multi-Domain (SAN). Защищает несколько разных доменов одним сертификатом (до 100 доменов). Подходит для группы связанных сайтов.

Как получить и установить SSL-сертификат

Способы получения SSL-сертификата:

Бесплатно через Let’s Encrypt. Let’s Encrypt — некоммерческий удостоверяющий центр, выдающий бесплатные DV-сертификаты. Покрывает потребности большинства коммерческих сайтов. Сертификат выдаётся на 90 дней с автоматическим продлением. Установка через ACME-протокол: на большинстве хостингов есть автоматическая интеграция, у Cloudflare и аналогичных CDN — встроенная поддержка.

Через хостинг-провайдера. Большинство хостингов в РБ (Hoster.by, Active.by, Datahata) и в РФ предоставляют бесплатные Let’s Encrypt-сертификаты прямо из панели управления. Установка — 1 клик, продление автоматическое. Для большинства бизнес-сайтов это самый простой и достаточный вариант.

Через CDN или прокси. Cloudflare (бесплатный план), BunnyCDN, российские CDN — все предоставляют SSL-сертификат на уровне CDN. Сайт может оставаться на HTTP внутри инфраструктуры, наружу работать через HTTPS. Простая настройка, но создаёт зависимость от CDN-провайдера.

Платные сертификаты. От 50 до 500+ долларов в год в зависимости от типа (DV/OV/EV) и охвата (Single/Wildcard/Multi). Покупаются у удостоверяющих центров (Comodo, DigiCert, GlobalSign, Sectigo) напрямую или через посредников. Платные сертификаты нужны редко: для финансовых организаций, для корпоративных требований по EV-верификации.

Установка сертификата состоит из трёх шагов: получение файлов сертификата (открытый ключ, закрытый ключ, цепочка сертификатов), загрузка на сервер или в панель хостинга, настройка веб-сервера (Apache, Nginx) на использование сертификата для конкретного домена. На современных хостингах с автоматической установкой Let’s Encrypt все эти шаги выполняются автоматически.

Как настроить HTTPS на сайте

После установки SSL-сертификата на сервер сайт становится доступен по HTTPS, но это только первый шаг. Полная настройка включает:

Шаг 1. Настройка 301-редиректов с HTTP на HTTPS. Все запросы к http://site.by должны автоматически перенаправляться на https://site.by через 301-редирект. Настраивается на уровне сервера. Для Nginx:

server {
    listen 80;
    server_name site.by www.site.by;
    return 301 https://site.by$request_uri;
}

Для Apache в файле .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Шаг 2. Устранение mixed content. Mixed content (смешанный контент) — ситуация, когда HTTPS-страница подгружает ресурсы (изображения, CSS, JS) по HTTP. Браузер блокирует часть таких ресурсов или показывает предупреждение. Все ссылки внутри сайта переписываются на относительные пути (//site.by/path или /path) или явно на HTTPS (https://site.by/path).

Шаг 3. Обновление внутренних ссылок и канонических URL. Все внутренние ссылки в HTML, мета-теги canonical, элементы <link rel="alternate">, файл sitemap.xml — обновляются на HTTPS-версии URL. Шаблоны CMS правятся для генерации HTTPS-ссылок по умолчанию.

Шаг 4. Настройка HSTS. HTTP Strict Transport Security — HTTP-заголовок, который заставляет браузер использовать HTTPS принудительно даже при попытке зайти по HTTP. Добавляется на уровне веб-сервера:

Strict-Transport-Security: max-age=31536000; includeSubDomains

Параметр max-age — время в секундах (год = 31536000). После первого посещения сайта по HTTPS браузер на год запоминает, что для этого домена нужно использовать только HTTPS.

Шаг 5. Сообщить поисковикам о переходе. В Яндекс.Вебмастере и Google Search Console — добавление HTTPS-версии сайта как отдельного ресурса, указание её как основной. В Яндекс.Вебмастере дополнительно — раздел «Переезд сайта» с указанием перехода с HTTP на HTTPS.

Шаг 6. Проверка качества настройки. Через SSL Labs (Qualys SSL Server Test) — рейтинг A или A+. Через Chrome DevTools — отсутствие mixed content. Через Screaming Frog — все внутренние ссылки и canonical на HTTPS.

Типичные ошибки

Ошибка	Последствие	Решение
HTTPS работает, но не настроен 301-редирект с HTTP	Дубль сайта на HTTP и HTTPS, распыление ссылочного веса	Принудительный 301-редирект на уровне сервера для всех HTTP-запросов
Mixed content: HTTPS-страница подгружает HTTP-ресурсы	Браузер показывает предупреждение, часть ресурсов блокируется, страница отображается некорректно	Все внутренние ссылки на ресурсы — через HTTPS или относительные пути. Проверка через Chrome DevTools раздел Console
Истёкший срок действия сертификата	Браузер показывает предупреждение, сайт фактически недоступен для пользователей	Автоматическое продление через Let’s Encrypt или ручной мониторинг сроков для платных сертификатов
Внутренние ссылки и canonical остались на HTTP после перехода	Алгоритм видит конфликтные сигналы, индексация замедляется	Массовая замена через find-replace в БД CMS или через специальные плагины миграции
HTTPS только на главной странице	Часть сайта работает на HTTPS, часть на HTTP — браузеры показывают предупреждения	HTTPS на всём сайте без исключений; редирект на уровне сервера для всех URL
Сертификат от недоверенного центра	Браузер показывает предупреждение о небезопасном соединении	Сертификаты только от признанных удостоверяющих центров (Let’s Encrypt, Comodo, DigiCert и аналоги)

Часто задаваемые вопросы

Сколько времени уходит на переход с HTTP на HTTPS?

Технически — от 1 часа до 1 рабочего дня в зависимости от движка и сложности сайта. Установка сертификата через Let’s Encrypt — 5–15 минут. Настройка редиректов, устранение mixed content, обновление внутренних ссылок — от 2 до 8 часов. Полная стабилизация в индексе после перехода — 2–4 недели в Google и 4–8 недель в Яндексе.

Достаточно ли бесплатного Let’s Encrypt-сертификата?

Для большинства бизнес-сайтов — да. Уровень шифрования у Let’s Encrypt такой же, как у платных DV-сертификатов. Разница только в типе верификации (Let’s Encrypt — DV) и в визуализации в браузере (для пользователя они выглядят одинаково). Платные OV или EV нужны только в специфических случаях: финансовые услуги, корпоративные требования, страны с особыми законодательными требованиями.

Можно ли потерять позиции после перехода на HTTPS?

Кратковременная просадка возможна в первые 2–4 недели после миграции. Это нормальная реакция алгоритма на смену URL. При корректной настройке (301-редиректы, обновлённые canonical, переезд в Яндекс.Вебмастере) позиции восстанавливаются и обычно растут после полного перехода. Длительная просадка означает ошибки в настройке.

Что важнее: HTTPS или микроразметка?

HTTPS — обязательное условие, без него современный сайт работать не может. Микроразметка — расширение, которое улучшает сниппеты и попадание в специальные форматы выдачи. Сначала HTTPS, потом микроразметка. Без HTTPS микроразметка работает, но сайт всё равно теряет позиции из-за отсутствия HTTPS как фактора ранжирования.

Существует ли разница в требованиях к HTTPS у Яндекса и Google?

Базовые требования одинаковы. Google официально объявил HTTPS фактором ранжирования в 2014 году. Яндекс не выделяет HTTPS отдельно, но учитывает через сигналы доверия. На практике для обеих систем HTTPS — обязательное условие.

Что делать, если на сайте сложно убрать mixed content?

Использовать заголовок Content-Security-Policy: upgrade-insecure-requests. Он указывает браузеру автоматически переводить HTTP-запросы внутри HTTPS-страницы в HTTPS. Это временное решение — основной путь — обновить ссылки в коде, но заголовок помогает на переходный период.

Сколько стоит SSL-сертификат в РБ?

Let’s Encrypt — бесплатно через любой хостинг. Платные DV — 30–80 BYN в год через белорусских реселлеров. OV — 200–400 BYN. EV — 600–1500 BYN. Wildcard и Multi-Domain — дополнительная плата. Через ЕРИП оплата платных сертификатов доступна через белорусских реселлеров или хостинг-провайдеров.

Можно ли иметь HTTPS только на части сайта, например на странице оплаты?

Технически возможно, практически — нет. Современные браузеры маркируют HTTP-страницы как «небезопасные» независимо от того, есть ли на сайте HTTPS-страницы. Частичный HTTPS создаёт смешанный контент и проблемы с сессиями. Корректный подход — HTTPS на всём сайте.

Что такое HTTPS Everywhere и нужно ли использовать?

HTTPS Everywhere — расширение для браузера, которое автоматически переключает сайты на HTTPS при наличии такой возможности. С 2022 года официально не развивается, потому что современные браузеры (Chrome, Firefox) встроили эту функциональность в режим «HTTPS-only mode». Владельцу сайта это не важно — главное, чтобы сайт работал по HTTPS без ошибок.