Посетитель заходит на сайт, видит в адресной строке надпись «Не защищено» и закрывает вкладку. Не потому что нашёл что-то подозрительное — просто браузер прямо предупредил об опасности. Это происходит каждый раз, когда сайт работает по протоколу HTTP вместо HTTPS.
Разница между ними — один маленький сертификат. Его отсутствие влияет на безопасность данных пользователей, позиции сайта в поиске и то, как люди воспринимают ресурс.
Что такое SSL-сертификат и его роль в безопасности
Когда браузер и сервер обмениваются данными — передают логины, пароли, номера карт, содержимое форм — эти данные могут перехватить посредники: провайдер, оператор публичного Wi-Fi или вредоносная программа на устройстве пользователя.
SSL-сертификат решает эту проблему. Он запускает шифрование: данные превращаются в нечитаемый набор символов, который можно расшифровать только на стороне сервера. Подробнее о том, зачем нужен SSL-сертификат и как он работает, — в отдельном материале.
Наличие сертификата меняет протокол с HTTP на HTTPS. Буква «S» означает Secure — защищённый. Именно этот признак браузеры используют, чтобы решить, безопасен ли сайт.
Как браузеры помечают небезопасные ресурсы
Chrome, Firefox, Safari и Edge используют единый подход: сайты без HTTPS получают предупреждение. Его видит каждый посетитель — в адресной строке, иногда на весь экран.
Значок замка заменяется предупреждением
Вместо закрытого замка рядом с адресом сайта отображается перечёркнутый замок или иконка с восклицательным знаком. В Chrome надпись гласит «Не защищено».
Полноэкранная страница-предупреждение
Если сертификат есть, но истёк или настроен неправильно, браузер показывает красный экран с предложением «Вернуться назад». Большинство пользователей именно так и поступают.
Блокировка форм в части браузеров
Некоторые версии браузеров блокируют отправку данных через формы на HTTP-сайтах или предупреждают об опасности прямо в момент ввода пароля.
Последствия отсутствия шифрования для владельца сайта
Проблема не только в том, что посетителям некомфортно. Отсутствие HTTPS создаёт реальные риски — как для пользователей, так и для владельца ресурса.
Уязвимость персональных данных пользователей
Каждый раз, когда посетитель заполняет форму на HTTP-сайте — вводит имя, email, телефон — эти данные передаются в открытом виде. Перехватить их может любой, кто находится в той же сети: в кафе, аэропорту, коворкинге.
Для сайта, который собирает персональные данные и работает по 152-ФЗ, это отдельная история. Закон обязывает оператора принимать меры для защиты данных. Обработка персональных данных на сайте подразумевает не только наличие документов, но и техническую защиту передачи информации.
Риск перехвата паролей и платёжной информации
Для интернет-магазинов и сервисов с авторизацией это критично. Пароли и данные банковских карт, переданные по HTTP, могут быть прочитаны на любом промежуточном узле сети.
Атака типа «человек посередине» (man-in-the-middle) не требует сложных инструментов. На незащищённом HTTP-соединении злоумышленник может не просто перехватить данные, но и подменить содержимое страницы — вставить свою рекламу или фишинговую форму.
Mixed Content
Иногда сертификат установлен, но часть ресурсов страницы — картинки, скрипты, стили — загружается по HTTP. Браузер всё равно помечает такой сайт как небезопасный. Это называется смешанное содержимое (Mixed Content), и оно требует отдельного исправления.
Влияние на поисковое продвижение
Пессимизация позиций в Google и Яндекс
Google официально подтвердил, что HTTPS является сигналом ранжирования. Сайты на HTTP получают пониженные позиции при прочих равных условиях. Для конкурентных тематик это может означать разницу в несколько страниц выдачи.
Яндекс придерживается аналогичной позиции. Помимо прямого влияния на ранжирование, HTTP-сайт косвенно страдает из-за поведения пользователей — а это один из ключевых факторов.
Снижение поведенческих факторов и рост числа отказов
Посетитель видит предупреждение и уходит. Для поисковика это сигнал: страница не устроила пользователя. Если так происходит часто, позиции падают дополнительно — уже из-за плохих поведенческих метрик.
Рост числа отказов, сокращение времени на сайте, отсутствие целевых действий — всё это следствие одного предупреждения в браузере.
Репутационные потери и доверие клиентов
Большинство пользователей не разбираются в технических деталях шифрования. Но они понимают простую вещь: браузер говорит «не защищено» — значит, что-то не так с этим сайтом.
Для коммерческих ресурсов это напрямую влияет на конверсию. Клиент, который засомневался на этапе оформления заказа или заполнения формы, просто уйдёт к конкуренту.
Хуже, если предупреждение увидит корпоративный клиент или партнёр. Отсутствие HTTPS воспринимается как признак непрофессионального отношения к безопасности в целом.
Ситуация с просроченным сертификатом
Если сертификат был, но истёк — ситуация ещё хуже. Браузер показывает красный экран с предупреждением об ошибке. Пользователь не видит сайта вообще. Что делать при ошибке SSL-сертификата — отдельный вопрос, требующий быстрого решения.
Виды SSL-сертификатов: какой выбрать
| Тип | Для кого подходит | Стоимость |
|---|---|---|
| DV (Domain Validation) | Блоги, лендинги, небольшие сайты без приёма платежей | Бесплатно (Let's Encrypt) или от 500 ₽/год |
| OV (Organization Validation) | Корпоративные сайты, компании с реальным юридическим лицом | От 5 000 ₽/год |
| EV (Extended Validation) | Банки, интернет-магазины с высоким оборотом, финансовые сервисы | От 20 000 ₽/год |
| Wildcard | Сайты с поддоменами (shop.example.ru, blog.example.ru) | От 10 000 ₽/год |
Большинству сайтов — визиткам, лендингам, небольшим магазинам — достаточно бесплатного DV-сертификата. Он выдаётся автоматически, подтверждает только владение доменом и полностью закрывает задачу шифрования.
Обзор доступных вариантов — в материале про бесплатные SSL-сертификаты для сайта. Там же — сравнение провайдеров и инструкции по получению.
Пошаговый алгоритм перехода на HTTPS
Выбрать и получить сертификат
Для большинства сайтов подойдёт бесплатный Let's Encrypt. Многие хостинги предоставляют его в один клик из панели управления. Платные варианты понадобятся, если нужна OV или EV-верификация.
Установить сертификат на сервер
Процесс зависит от хостинга и серверного ПО. Подробная инструкция по разным конфигурациям — в руководстве по установке и настройке SSL-сертификата.
Настроить редирект с HTTP на HTTPS
Сертификат установлен, но старые HTTP-адреса продолжают работать. Нужно настроить постоянный 301-редирект, чтобы все посетители и поисковики попадали на HTTPS-версию. Это делается через .htaccess или конфигурацию nginx.
Исправить смешанное содержимое
Проверить, не осталось ли на сайте HTTP-ссылок на картинки, скрипты или стили. Если есть — исправить на HTTPS или относительные пути. Иначе браузер продолжит показывать предупреждение.
Обновить адрес сайта в поисковых системах
В Google Search Console и Яндекс Вебмастере указать новый HTTPS-адрес как основной. Переиндексация займёт несколько недель — это нормально.
Настроить автопродление сертификата
Бесплатные сертификаты действуют 90 дней. Если не настроить автообновление, сертификат истечёт и сайт снова начнёт показывать предупреждения. Большинство панелей управления позволяют включить автопродление в настройках.
Частые вопросы
Можно ли получить SSL-сертификат бесплатно?
Если сайт просто визитка без форм — SSL всё равно нужен?
Насколько быстро после перехода на HTTPS вырастут позиции в поиске?
Что делать, если сертификат уже установлен, но браузер всё равно показывает предупреждение?
Главное
Отсутствие SSL-сертификата — не мелкая техническая недоработка, а видимая проблема. Браузер сигнализирует о ней каждому посетителю, поисковые системы снижают доверие к сайту, а данные пользователей передаются без защиты.
Бесплатный сертификат устанавливается за несколько минут через большинство хостингов. Для типового сайта это закрывает все основные риски — без затрат и сложных настроек.
После перехода важно проверить редиректы, исправить смешанное содержимое и настроить автопродление. Тогда сайт будет работать стабильно — без предупреждений и без потерь аудитории.