HTTPS (HTTP Secure — безопасный HTTP) — защищённая версия протокола HTTP, в которой передача данных шифруется с помощью протоколов SSL или TLS. В адресной строке браузера HTTPS-сайт обозначается значком замка перед доменом. Данные между браузером пользователя и сервером передаются в зашифрованном виде, что защищает от перехвата (атаки «человек посередине»).
С 2014 года Google официально учитывает HTTPS как сигнал ранжирования. С 2018 года браузер Chrome маркирует HTTP-сайты как «небезопасные», что отталкивает пользователей. Переход на HTTPS — базовое техническое требование для любого современного сайта.
SSL и TLS: в чём разница
- SSL (Secure Sockets Layer) — оригинальный протокол шифрования, разработанный в 1990-х. Устарел и уязвим. Все версии SSL (2.0, 3.0) официально считаются небезопасными.
- TLS (Transport Layer Security) — современный преемник SSL. TLS 1.2 и TLS 1.3 — актуальные версии. На практике «SSL-сертификат» по-прежнему используется как термин, хотя современные сертификаты работают через TLS.
Типы SSL-сертификатов
- DV (Domain Validated) — подтверждает только владение доменом. Выдаётся автоматически, бесплатно (Let’s Encrypt). Достаточен для большинства сайтов.
- OV (Organization Validated) — подтверждает домен и организацию. Занимает несколько дней, стоит денег. Для корпоративных сайтов.
- EV (Extended Validation) — расширенная проверка с указанием названия организации в адресной строке (зелёная строка). Используется банками и крупными e-commerce.
- Wildcard — покрывает все поддомены (*.example.com). Удобен при наличии нескольких поддоменов.
- Multi-domain (SAN) — покрывает несколько разных доменов одним сертификатом.
Переезд с HTTP на HTTPS: пошаговый план
- Получить SSL-сертификат (Let’s Encrypt — бесплатно через хостинг-панель или Certbot).
- Установить сертификат на сервере и проверить, что HTTPS-версия сайта работает.
- Настроить 301-редиректы с HTTP на HTTPS (на уровне .htaccess, Nginx или хостинг-панели).
- Настроить редирект с www на без www (или наоборот) для единого канонического URL.
- Обновить все внутренние ссылки на HTTPS-версии.
- Обновить Sitemap.xml с HTTPS-URL.
- Добавить HTTPS-версию сайта в Google Search Console и Яндекс.Вебмастер как отдельное свойство.
- Проверить смешанный контент (mixed content): HTTP-ресурсы на HTTPS-странице вызывают предупреждения.
HTTPS и влияние на позиции
Google подтвердил, что HTTPS — фактор ранжирования. Влияние умеренное («тай-брейкер» при прочих равных), но реальное. Более важный косвенный эффект: переход на HTTPS устраняет предупреждение «небезопасно» в браузере, что снижает показатель отказов и повышает доверие пользователей. Улучшение поведенческих показателей — более мощный SEO-эффект, чем прямое ранжирование по HTTPS.
Часто задаваемые вопросы
Что такое смешанный контент (mixed content) и как его исправить?
Смешанный контент — ситуация, когда HTTPS-страница загружает ресурсы (изображения, скрипты, стили) по HTTP-ссылкам. Браузер блокирует часть таких ресурсов и показывает предупреждение. Для исправления: найти все HTTP-ссылки на ресурсы через DevTools (Console → «Mixed Content» предупреждения) или инструмент Why No Padlock. Заменить на HTTPS-версии. В WordPress плагин Better Search Replace поможет массово заменить HTTP на HTTPS в базе данных.
Может ли переход на HTTPS временно снизить позиции?
Кратковременные колебания (несколько дней — 2 недели) возможны при любых значительных изменениях сайта. При правильном переезде (301-редиректы, обновление GSC и Вебмастера, правильный Sitemap) позиции восстанавливаются и, как правило, улучшаются. Ошибки при переезде (без редиректов, неправильный canonical, смешанный контент) могут привести к более длительному падению.
Нужен ли SSL-сертификат для сайта без форм и онлайн-платежей?
Да, в 2025 году HTTPS необходим всем сайтам независимо от наличия форм. Браузеры помечают HTTP как «небезопасный» вне зависимости от типа сайта. Пользователи видят предупреждение и уходят — это прямые потери трафика. Поисковики учитывают HTTPS при ранжировании. Let’s Encrypt делает получение SSL-сертификата бесплатным и автоматическим, поэтому нет технических или финансовых барьеров для перехода.
Как часто нужно обновлять SSL-сертификат?
SSL-сертификаты Let’s Encrypt действительны 90 дней и обновляются автоматически через Certbot или панель хостинга. Коммерческие DV-сертификаты — обычно 1 год. OV и EV — от 1 до 2 лет (максимальный срок ограничен 398 днями). Истёкший сертификат вызывает критическое предупреждение браузера и делает сайт практически недоступным для пользователей. Настройте автоматическое обновление или мониторинг срока действия.
