Если в адресной строке браузера рядом с вашим сайтом написано «Не защищено», вы теряете посетителей ещё до того, как они увидели контент. HTTPS перестал быть опцией для интернет-магазинов и банков — в 2026 году это базовое требование для любого сайта, который хочет ранжироваться, конвертировать и вызывать доверие. В этой статье мы как практикующее агентство разберём, что такое HTTPS и SSL/TLS простыми словами, зачем переходить на защищённый протокол, как получить сертификат и провести миграцию без потери позиций в поиске.
Что такое HTTPS и чем он отличается от HTTP
HTTP (HyperText Transfer Protocol) — это протокол, по которому браузер и сервер обмениваются данными: вы запрашиваете страницу, сервер присылает HTML, картинки и скрипты. Проблема в том, что в чистом HTTP всё передаётся открытым текстом. Любой, кто сидит между вами и сервером — провайдер, владелец публичного Wi-Fi, злоумышленник в той же сети — может прочитать или подменить эти данные.
HTTPS (HTTP Secure) — это тот же HTTP, но обёрнутый в слой шифрования. Буква «S» означает Secure, а отвечает за неё технология SSL/TLS. Соединение по HTTPS работает на порту 443 вместо стандартного 80 для HTTP.
Что такое SSL и TLS простыми словами
SSL (Secure Sockets Layer) — это исторически первая технология шифрования веб-трафика. Сегодня сам SSL уже устарел и не используется: все актуальные версий протокола называются TLS (Transport Layer Security). Но по привычке индустрия до сих пор говорит «SSL-сертификат», хотя технически речь о TLS. На 2026 год актуальны версии TLS 1.2 и TLS 1.3 — последняя быстрее и безопаснее, более старые версии (TLS 1.0, 1.1, SSL 3.0) считаются небезопасными и отключены в браузерах.
Простая аналогия: HTTP — это открытка, которую может прочитать любой почтальон по пути. HTTPS — это запечатанный конверт, который вскрыть может только получатель. SSL/TLS-сертификат при этом выполняет роль печати, подтверждающей, что конверт действительно отправлен тем, за кого он себя выдаёт.
Что именно даёт шифрование
HTTPS решает три задачи одновременно:
- Конфиденциальность — данные между браузером и сервером зашифрованы, их нельзя перехватить и прочитать.
- Целостность — данные нельзя незаметно подменить по пути. Если кто-то попытается вставить рекламу или вредоносный код в трафик, соединение разорвётся.
- Аутентификация — сертификат подтверждает, что вы общаетесь с реальным сайтом, а не с подделкой-фишингом.
Зачем сайту переходить на HTTPS
Причин несколько, и каждая из них самостоятельно достаточна для миграции. Вместе они делают переход обязательным.
HTTPS — фактор ранжирования
Google официально подтвердил HTTPS как сигнал ранжирования ещё в 2014 году. Сигнал не самый мощный, но при прочих равных защищённый сайт получает преимущество. Важнее косвенный эффект: сайты в топе почти поголовно работают на HTTPS, и отсутствие шифрования сегодня воспринимается поисковыми системами как признак заброшенного или сомнительного ресурса. Яндекс прямо рекомендует HTTPS и корректно индексирует такие сайты, передавая накопленные сигналы при правильной настройке зеркал.
Требования браузеров
С 2018 года Chrome помечает все HTTP-страницы ярлыком «Не защищено» (Not Secure) в адресной строке. На страницах с формами ввода (логин, пароль, оплата, даже обычная форма заявки) браузеры выводят красные предупреждения, которые отпугивают пользователей. В 2026 году Chrome движется к тому, чтобы по умолчанию требовать HTTPS-соединение и показывать полноэкранное предупреждение перед загрузкой любого незащищённого сайта. Для бизнеса это означает прямую потерю трафика и заявок.
Доверие и конверсия
Замочек в адресной строке — это сигнал безопасности, который пользователи считывают подсознательно. По нашим наблюдениям на проектах клиентов, переход с HTTP на HTTPS на сайтах с формами заявок и онлайн-оплатой заметно снижает процент отказов на этапе ввода данных. Никто не хочет вводить телефон или данные карты на сайте с надписью «Не защищено».
Технические возможности
HTTPS — это пропуск к современным веб-технологиям. Протокол HTTP/2 и HTTP/3, которые ускоряют загрузку страниц, работают только поверх HTTPS. Service Workers, push-уведомления, геолокация, доступ к камере и микрофону — все эти API браузеры разрешают только на защищённых соединениях. Без HTTPS вы отрезаны от половины современного веба и от инструментов ускорения, которые напрямую влияют на Core Web Vitals и SEO.
Какие бывают SSL/TLS-сертификаты
Сертификаты различаются по двум параметрам: по уровню проверки владельца и по количеству покрываемых доменов.
По уровню проверки
- DV (Domain Validation) — проверяется только владение доменом. Выдаётся за минуты, подходит для большинства сайтов: блогов, лендингов, корпоративных сайтов, небольших магазинов. Именно такие сертификаты выдаёт Let's Encrypt.
- OV (Organization Validation) — дополнительно проверяется юридическое лицо. Уместен для крупных компаний, которым важно подтвердить организацию.
- EV (Extended Validation) — расширенная проверка организации. Раньше давал зелёную строку с названием компании, но современные браузеры визуально перестали выделять EV, поэтому смысла переплачивать за него почти не осталось.
Важный момент: на уровень шифрования тип сертификата не влияет — DV защищает соединение ровно так же надёжно, как EV. Разница только в глубине проверки владельца.
По охвату доменов
- Одиночный — для одного домена (example.ru).
- Wildcard — для домена и всех его поддоменов (*.example.ru: shop.example.ru, blog.example.ru).
- Multi-domain (SAN) — несколько разных доменов в одном сертификате.
Где взять сертификат: Let's Encrypt против платных
Это первый вопрос на старте миграции. Разберём оба варианта.
Let's Encrypt — бесплатно и достаточно
Let's Encrypt — некоммерческий центр сертификации, который выдаёт DV-сертификаты бесплатно. Для 90% сайтов это оптимальный выбор. Особенности:
- Цена — 0 рублей.
- Срок действия — 90 дней, но обновление автоматизируется через утилиту Certbot или встроенные средства хостинга, так что вы про него забываете.
- Установка — на большинстве современных хостингов и панелей (ISPmanager, cPanel, Plesk, Timeweb, Beget, REG.RU) Let's Encrypt подключается в один-два клика.
Шифрование Let's Encrypt ничем не уступает платным аналогам — браузеры доверяют ему одинаково.
Когда нужен платный сертификат
Платные сертификаты (от Sectigo, DigiCert, GlobalSign и др., стоимостью примерно от 2 000 до 30 000+ рублей в год) имеет смысл брать в нескольких случаях:
- Нужен OV/EV-сертификат с проверкой юрлица — например, для банка или крупного финтеха.
- Требуется финансовая гарантия от центра сертификации.
- Корпоративная политика безопасности требует конкретного вендора.
- Нужна расширенная техподдержка по сертификату.
Для большинства коммерческих сайтов, интернет-магазинов и информационных порталов Let's Encrypt полностью закрывает потребность. Не переплачивайте за SEO-преимущества — их у платных сертификатов перед Let's Encrypt нет.
Как перейти на HTTPS без потери позиций: пошагово
Главный страх при миграции — просесть в поиске. Для поисковых систем переход с HTTP на HTTPS — это смена адреса (HTTP и HTTPS считаются разными зеркалами). Если сделать всё правильно, потери позиций не будет или она окажется кратковременной. Вот порядок действий, который мы применяем на проектах.
Шаг 1. Установите сертификат и проверьте его
Подключите сертификат на сервере или через панель хостинга. После установки проверьте корректность через сервис вроде SSL Labs — он покажет рейтинг (стремитесь к A или A+), правильность цепочки сертификатов и поддержку актуальных версий TLS. Убедитесь, что сертификат покрывает и www, и без-www версии домена, если используете обе.
Шаг 2. Настройте 301-редиректы со всех HTTP на HTTPS
Это критический шаг. Каждая HTTP-страница должна постоянным редиректом 301 вести на свой HTTPS-аналог. Именно 301 (а не 302) передаёт накопленный ссылочный вес и сообщает поисковику о постоянном переезде. Редирект должен быть постраничным: http://example.ru/uslugi ведёт на https://example.ru/uslugi, а не всё подряд на главную. Пример для Nginx:
- Nginx —
return 301 https://$host$request_uri;в серверном блоке для порта 80. - Apache — правило RewriteRule в .htaccess, перенаправляющее весь трафик на https://.
После настройки откройте несколько разных HTTP-URL и убедитесь, что каждый редиректит на правильную HTTPS-версию одним переходом, без цепочек редиректов.
Шаг 3. Обновите все внутренние ссылки и ресурсы
Пройдитесь по сайту и замените абсолютные внутренние ссылки, пути к картинкам, CSS, JS, шрифтам с http:// на https:// (или на относительные пути). Это нужно, чтобы избежать ошибки mixed content — о ней ниже. Обновите ссылки в шаблонах, в базе данных (для CMS вроде WordPress используют скрипты массовой замены), в sitemap.xml и в файле robots.txt.
Шаг 4. Обновите данные в Яндекс.Вебмастере и Google Search Console
Это та часть, которую часто забывают, и из-за которой проседают позиции.
- Яндекс.Вебмастер — добавьте HTTPS-версию как отдельный сайт, затем в разделе «Индексирование → Переезд сайта» укажите переезд на HTTPS. Яндекс склеит зеркала и перенесёт показатели. Обновите главное зеркало.
- Google Search Console — добавьте HTTPS-ресурс (или используйте Domain property, которая покрывает все варианты сразу), загрузите обновлённый sitemap.xml с HTTPS-адресами.
Укажите канонический адрес (rel=canonical) с протоколом https на всех страницах.
Шаг 5. Обновите всё внешнее окружение
Поменяйте протокол в системах аналитики (Яндекс.Метрика, Google Analytics), в счётчиках и пикселях, в рекламных кабинетах (Яндекс.Директ), в email-подписях, в профилях соцсетей и каталогах. Обновите sitemap.xml в Вебмастере и переотправьте важные страницы на переобход, чтобы ускорить переиндексацию.
Шаг 6. Включите HSTS (опционально, после проверки)
HSTS (HTTP Strict Transport Security) — заголовок, который заставляет браузер всегда обращаться к сайту только по HTTPS, даже если пользователь набрал http://. Включайте его только после того, как убедились, что весь сайт стабильно работает по HTTPS, потому что откатить HSTS сложно — браузеры запоминают правило надолго.
Частые ошибки при переходе на HTTPS
Mixed content (смешанный контент)
Самая распространённая проблема. Mixed content возникает, когда HTTPS-страница подгружает ресурсы (картинки, скрипты, стили, шрифты, iframe) по незащищённому HTTP. Браузер видит это как дыру в безопасности: либо блокирует такие ресурсы (страница ломается визуально или функционально), либо убирает замочек и показывает предупреждение «Не полностью защищено». Как найти и починить:
- Откройте консоль браузера (F12) — в ней будут предупреждения Mixed Content с указанием конкретных URL.
- Замените все http:// ссылки на ресурсы внутри страницы на https:// или относительные пути.
- Проверьте внешние подключения — виджеты, шрифты, чаты, карты должны поддерживать HTTPS.
- Используйте онлайн-сканеры mixed content для массовой проверки всего сайта.
Редиректы 302 вместо 301
Временный редирект 302 не передаёт ссылочный вес и говорит поисковику, что переезд временный. Используйте только постоянный 301.
Цепочки редиректов
Ситуация вроде http://example.ru → http://www.example.ru → https://www.example.ru замедляет загрузку и размывает сигналы. Настройте редиректы так, чтобы любой HTTP-URL вёл на финальную HTTPS-версию за один переход.
Забытый sitemap и canonical
Старый sitemap с HTTP-адресами и canonical, указывающие на HTTP, путают поисковик. Обновите оба после миграции.
Просроченный сертификат
Если сертификат истёк, браузер покажет грозное предупреждение и заблокирует доступ к сайту — это мгновенная потеря всего трафика. С Let's Encrypt настраивайте автообновление и мониторинг срока действия.
Сколько времени занимает переход и просядут ли позиции
Техническая часть миграции на типовом сайте занимает от нескольких часов до одного дня. Переиндексация поисковыми системами и склейка зеркал — от нескольких дней до 2–4 недель. При грамотной настройке (постраничные 301, обновлённые Вебмастер и Search Console, отсутствие mixed content) позиции либо не меняются вовсе, либо кратковременно колеблются и восстанавливаются. Проседания, о которых иногда рассказывают, — почти всегда следствие ошибок: редиректы на главную вместо постраничных, незакрытый mixed content или забытый переезд в Вебмастере.
Вывод
HTTPS в 2026 году — это не «улучшение», а гигиенический минимум: фактор ранжирования, требование браузеров, основа доверия пользователей и пропуск к современным веб-технологиям. Для большинства сайтов достаточно бесплатного сертификата Let's Encrypt с автообновлением. Главное в миграции — постраничные 301-редиректы, чистота от mixed content и корректный переезд в Яндекс.Вебмастере и Google Search Console. Сделайте это правильно — и переход пройдёт незаметно для позиций, а сайт станет быстрее и безопаснее.
Если вы не уверены, что миграция пройдёт без потерь, или уже перешли на HTTPS и просели в выдаче — мы поможем. Закажите технический SEO-аудит или ознакомьтесь с нашими услугами SEO-продвижения сайтов: проверим редиректы, mixed content, склейку зеркал и вернём позиции.







