SSL-сертификат
SSL-сертификат — цифровой документ, который шифрует данные между браузером и сервером и включает протокол https. Подтверждает подлинность сайта, убирает пометку «не защищено» и нужен для приёма оплат.
Определение SSL-сертификата
SSL-сертификат — это файл, выпущенный удостоверяющим центром, который позволяет шифровать соединение между браузером пользователя и сервером сайта. Формально протокол давно называется TLS (SSL устарел и небезопасен с 2015 года), но в обиходе сохранилось название «SSL». Сертификат решает две задачи: шифрует передаваемые данные, чтобы их нельзя было перехватить, и подтверждает, что сайт действительно принадлежит заявленному домену. Внешний признак — замок в адресной строке и приставка https вместо http.
С 2018 года Chrome помечает все http-сайты как «Не защищено», а формы ввода пароля или карты сопровождает предупреждением. Для магазина или сайта с заявками это прямая потеря доверия и конверсии. По данным W3Techs, к 2024 году более 85% сайтов в мире используют https по умолчанию.
Как работает шифрование
В основе — асимметричное шифрование: у сервера пара ключей, публичный (в сертификате) и приватный (в секрете). При подключении браузер и сервер выполняют «рукопожатие» (TLS handshake) и договариваются о сеансовом ключе. Установка сертификата — обязательная часть разработки сайта, а контроль срока и автопродления входит в техническую поддержку: просроченный сертификат мгновенно делает сайт недоступным.
| Этап | Что происходит |
|---|---|
| 1. Запрос | Браузер обращается к серверу по https и запрашивает сертификат |
| 2. Проверка | Браузер сверяет сертификат с доверенными удостоверяющими центрами |
| 3. Обмен ключами | Стороны генерируют общий сеансовый ключ через публичный ключ сервера |
| 4. Передача | Все данные шифруются сеансовым ключом, перехват бесполезен |
Если сертификат просрочен, отозван или не соответствует домену, браузер показывает красный экран с предупреждением, и большинство пользователей закрывают вкладку, не доходя до сайта.
Виды SSL-сертификатов
Сертификаты различаются по уровню проверки владельца и по охвату доменов.
| Тип | Что проверяется | Кому подходит |
|---|---|---|
| DV (Domain Validation) | Только владение доменом, выпуск за минуты | Блоги, лендинги, корпоративные сайты |
| OV (Organization Validation) | Домен плюс существование организации | Компании, интернет-магазины среднего уровня |
| EV (Extended Validation) | Углублённая юридическая проверка компании | Банки, платёжные системы, крупный e-commerce |
| Wildcard | Один домен и все его поддомены сразу | Проекты с поддоменами: shop, lk, api |
| SAN / Multi-domain | Несколько разных доменов в одном сертификате | Компании с пулом сайтов |
Отдельно стоит Let's Encrypt — бесплатный DV-сертификат, выпускаемый автоматически и обновляемый каждые 90 дней. Для большинства сайтов его достаточно; платные нужны там, где важна юридическая проверка организации или нужен Wildcard.
Стоимость и влияние на SEO
Бесплатный Let's Encrypt покрывает потребности 90% сайтов. Платный DV стоит 1000–3000 ₽ в год, OV — 5000–15 000 ₽, EV — от 20 000 ₽. Wildcard обходится в 8000–30 000 ₽ в зависимости от центра.
Мини-кейс: интернет-магазин год работал на http, и Chrome показывал «Не защищено» на странице оформления заказа. Доля брошенных корзин на шаге оплаты держалась около 68%. После установки бесплатного Let's Encrypt, настройки 301-редиректа с http на https и обновления внутренних ссылок пометка исчезла, а отказ на шаге оплаты снизился до 54% за месяц. Дополнительно https — подтверждённый фактор ранжирования Google с 2014 года, так что переезд помог и позициям.
Связанные концепции
- Домен — сертификат всегда выпускается на конкретное доменное имя и проверяет права именно на него.
- Хостинг — установка и автопродление сертификата выполняются на стороне сервера; многие хостинги ставят Let's Encrypt в один клик.
- Core Web Vitals — современный протокол HTTP/2 и HTTP/3 работает только поверх https, что ускоряет загрузку.
- SEO — https входит в факторы ранжирования и влияет на доверие; смешанный контент (http внутри https) ломает замок.
- Удостоверяющий центр (CA) — организация, которой доверяют браузеры и которая подтверждает подлинность сертификата.
Частые ошибки
- Просроченный сертификат — без автопродления сайт внезапно отдаёт ошибку безопасности и теряет весь трафик до починки.
- Смешанный контент (mixed content) — страница на https подгружает картинки или скрипты по http, и замок пропадает.
- Нет редиректа с http на https — старые ссылки ведут на незащищённую версию, возникает дубль страниц.
- Сертификат не на тот домен — выпущен на example.com, а сайт открывают как www.example.com, браузер ругается.
- Покупка дорогого EV без необходимости — для блога или визитки переплата, хватает бесплатного DV.
Частые вопросы
Чем SSL отличается от TLS?
Это два названия одной технологии шифрования соединения. SSL — устаревший протокол, последняя версия SSL 3.0 признана небезопасной ещё в 2015 году. На смену пришёл TLS, актуальные версии — TLS 1.2 и TLS 1.3. В обиходе и в названиях продуктов сохранилось слово «SSL-сертификат», хотя технически выпускается именно TLS-сертификат. Для пользователя разница невидима: и там, и там это замок и https в адресной строке.
Нужен ли платный сертификат или хватит бесплатного?
Для блога, лендинга, корпоративного сайта и большинства интернет-магазинов достаточно бесплатного Let's Encrypt — он даёт точно такое же шифрование, как платный DV. Платный OV или EV имеет смысл там, где критична юридическая проверка организации: банки, крупные платёжные сервисы, маркетплейсы. Wildcard покупают, когда нужно закрыть много поддоменов одним сертификатом. Уровень шифрования при этом везде одинаковый.
Что такое Let's Encrypt?
Это некоммерческий удостоверяющий центр, который выдаёт бесплатные DV-сертификаты автоматически. Сертификат действует 90 дней и продлевается без участия человека через утилиту вроде Certbot или встроенными средствами хостинга и Caddy. Доверие к нему встроено во все современные браузеры. Короткий срок не недостаток, а мера безопасности: автообновление снимает риск забыть о продлении.
Почему браузер пишет «Сайт не защищён»?
Причин несколько. Либо сертификата нет вовсе и сайт работает по http. Либо сертификат просрочен, отозван или выпущен на другой домен. Либо страница грузит часть ресурсов (картинки, скрипты) по http внутри https — это смешанный контент, и браузер снимает замок. Решение: установить или продлить сертификат, настроить редирект с http на https и заменить все внутренние ссылки на https.
Влияет ли SSL на скорость сайта?
Современный TLS 1.3 добавляет минимальную задержку на рукопожатие, измеряемую миллисекундами. При этом https открывает доступ к протоколам HTTP/2 и HTTP/3, которые грузят страницу быстрее за счёт мультиплексирования запросов. Итог: на практике сайт на https обычно работает не медленнее, а быстрее, чем тот же сайт на устаревшем http. Влияние на пользователя положительное.
Как перевести сайт с http на https?
Порядок такой. Установить сертификат на сервер (Let's Encrypt бесплатно или платный). Настроить постоянный редирект 301 со всех http-адресов на https. Заменить внутренние ссылки и пути к ресурсам на https, чтобы убрать смешанный контент. Указать https-версию как основную в Яндекс Вебмастере и Google Search Console и обновить адрес сайта в карте sitemap. После этого старые позиции переедут на защищённую версию.