При подключении нового хостинга или запуске сайта браузер нередко встречает посетителей предупреждением: «Подключение не защищено». Причина — отсутствие SSL-сертификата. Именно он переключает сайт с протокола HTTP на HTTPS и шифрует передаваемые данные.
Платить за это не обязательно. Большинству сайтов хватает бесплатного сертификата, который выдают за несколько минут.
Что такое SSL-сертификат и зачем он нужен сайту
Когда пользователь заходит на сайт, браузер и сервер обмениваются данными. Без шифрования эти данные — имена, пароли, номера карт — идут в открытом виде. Любой, кто находится в той же сети, может их перехватить.
SSL-сертификат решает эту проблему: он подтверждает подлинность сайта и устанавливает зашифрованное соединение. Именно поэтому в адресной строке у безопасных сайтов стоит «https://», а не «http://».
Для сайтов, которые собирают персональные данные пользователей — формы заявок, поля регистрации, корзины интернет-магазинов — шифрование соединения это не просто рекомендация, а требование безопасности.
Что происходит без HTTPS
Chrome и Firefox помечают HTTP-сайты как «Не защищено» прямо в адресной строке. Пользователи видят это предупреждение ещё до того, как открыли страницу. Часть из них уходит сразу.
Типы SSL-сертификатов: чем они отличаются
Сертификаты различаются по уровню проверки владельца. Для бесплатных решений доступен только базовый уровень — но для большинства сайтов этого достаточно.
Domain Validation — проверка домена
Удостоверяющий центр убеждается, что заявитель контролирует домен. Личность владельца не проверяется. Выдаётся автоматически, часто за несколько минут. Все бесплатные сертификаты — этого типа. Подходит для блогов, лендингов, корпоративных сайтов, интернет-магазинов.
Organization Validation — проверка организации
Проверяется существование юридического лица. Занимает несколько дней. Данные о компании отображаются в информации о сертификате. Используется государственными органами и крупными компаниями. Только платный.
Extended Validation — расширенная проверка
Максимальный уровень доверия. Ранее давал зелёную строку с названием компании в браузере — сейчас это убрали из Chrome и Firefox. Применяется в банках и платёжных системах. Только платный, проверка занимает до 2 недель.
Wildcard и SAN — особые форматы
Wildcard-сертификат закрывает все поддомены одного домена (*.example.com). SAN позволяет указать несколько разных доменов в одном сертификате. Let's Encrypt выдаёт оба типа бесплатно.
Как SSL влияет на SEO и позиции в поиске
Google официально учитывает наличие HTTPS как сигнал ранжирования с 2014 года. Яндекс также отдаёт предпочтение защищённым сайтам при прочих равных условиях.
Косвенный эффект ещё заметнее. Предупреждение «Не защищено» увеличивает процент отказов: люди уходят с сайта, не открыв ни одной страницы. Поисковые системы это видят и понижают сайт в выдаче.
На сайтах, которые обрабатывают персональные данные, отсутствие HTTPS также создаёт юридические риски — передача незашифрованных данных противоречит требованиям информационной безопасности.
Переход с HTTP на HTTPS требует настройки редиректов и обновления карты сайта. Неправильная миграция может временно ухудшить позиции — но это решаемо при аккуратной настройке.
ТОП-7 бесплатных SSL-сертификатов для сайта
Все сервисы в списке выдают сертификаты типа DV — они подходят для большинства проектов. Различия в сроках действия, способе получения и поддерживаемых функциях.
Let's Encrypt
Некоммерческий удостоверяющий центр, запущенный при поддержке Mozilla, Cisco и EFF. Самый распространённый бесплатный сертификат в мире — сегодня им защищены сотни миллионов сайтов.
Работает через протокол ACME: специальный клиент (Certbot или аналог) автоматически запрашивает, подтверждает и обновляет сертификат. Большинство хостинговых панелей (ISPmanager, cPanel, Plesk) интегрировали Let's Encrypt и позволяют подключить сертификат в два клика.
| Срок действия | 90 дней (автопродление) |
| Wildcard | Да |
| Поддержка браузеров | 99,9% современных браузеров |
| Сложность | Средняя (через консоль) / Низкая (через панель хостинга) |
Подойдёт: любому проекту, где есть доступ к панели хостинга или SSH.
Cloudflare
Cloudflare — это CDN и защита от DDoS, которые работают как прокси между пользователем и сервером. SSL здесь выдаётся автоматически при подключении сайта к сервису.
Схема подключения: нужно сменить DNS-серверы домена на серверы Cloudflare. После этого сертификат появляется автоматически — без установки на хостинг. Бесплатный тариф включает HTTPS, базовую защиту и кэширование.
| Срок действия | Автоматически, пока сайт работает через Cloudflare |
| Wildcard | Да (на платных тарифах) |
| Особенность | Трафик идёт через серверы Cloudflare |
| Сложность | Низкая |
Подойдёт: тем, кто хочет одновременно получить HTTPS, защиту от атак и ускорение загрузки.
ZeroSSL
Один из двух официальных ACME-совместимых удостоверяющих центров наряду с Let's Encrypt. Имеет удобный веб-интерфейс — сертификат можно получить прямо в браузере без командной строки.
На бесплатном тарифе доступно до трёх сертификатов одновременно. Поддерживает подтверждение через DNS, файл на сервере и email. Есть REST API для автоматизации.
| Срок действия | 90 дней |
| Wildcard | Только на платном тарифе |
| Особенность | Веб-интерфейс, не нужна консоль |
| Сложность | Низкая |
Подойдёт: тем, кто не хочет работать с командной строкой и предпочитает визуальный интерфейс.
НУЦ Минцифры (Национальный удостоверяющий центр)
Российский государственный удостоверяющий центр, запущенный в 2022 году. Выдаёт TLS-сертификаты для российских организаций бесплатно через портал Госуслуг.
Важный нюанс: сертификаты НУЦ не входят в стандартные хранилища доверенных центров Google Chrome, Mozilla Firefox и Safari. Они распознаются только в российских браузерах — Яндекс.Браузере и Атоме. Для аудитории, которая пользуется этими браузерами, решение рабочее. Для международной аудитории — нет.
| Срок действия | 1 год |
| Браузеры | Яндекс.Браузер, Атом (ограниченная поддержка) |
| Особенность | Для российских юрлиц и ИП, через Госуслуги |
| Сложность | Средняя |
Подойдёт: государственным и муниципальным сайтам, внутренним корпоративным ресурсам с аудиторией в России.
Buypass Go SSL
Норвежский удостоверяющий центр Buypass предлагает бесплатные сертификаты со сроком действия 180 дней — вдвое дольше, чем у Let's Encrypt. Поддерживает ACME-протокол, работает с Certbot.
Сертификаты включены в стандартные хранилища доверенных центров всех основных браузеров. Wildcard на бесплатном тарифе недоступен.
| Срок действия | 180 дней |
| Wildcard | Нет |
| Особенность | Увеличенный срок действия |
| Сложность | Средняя (через ACME) |
Подойдёт: тем, кто хочет реже заниматься обновлением и не использует поддомены.
FreeSSL.org
Онлайн-инструмент для генерации CSR-запросов и получения сертификатов через веб-интерфейс. Работает на базе ZeroSSL и Let's Encrypt — позволяет выбрать удостоверяющий центр вручную.
Удобен тем, что весь процесс — от ввода домена до скачивания файлов — проходит в браузере. Не требует установки клиентов или работы с консолью.
| Срок действия | 90 дней |
| Особенность | Агрегатор, выбор между Let's Encrypt и ZeroSSL |
| Сложность | Низкая |
Подойдёт: тем, кто разово получает сертификат и не хочет разбираться с инструментами командной строки.
SSL For Free
Простой веб-сервис на базе технологий ZeroSSL. Интерфейс сведён к минимуму: ввести домен, подтвердить владение, скачать файлы. Поддерживает подтверждение через DNS и файл на сервере.
После того как ZeroSSL приобрёл сервис, интерфейс стал единым — по сути, это упрощённая оболочка для тех же сертификатов ZeroSSL.
| Срок действия | 90 дней |
| Особенность | Минималистичный интерфейс |
| Сложность | Низкая |
Подойдёт: для быстрого получения сертификата без регистрации аккаунтов.
Как выбрать подходящий сертификат в 2026 году
Выбор зависит от трёх параметров: технических возможностей, аудитории сайта и того, как часто готовы заниматься обновлением.
| Ситуация | Рекомендация |
|---|---|
| Хостинг с cPanel, ISPmanager или Plesk | Let's Encrypt через панель (встроен) |
| Нет доступа к консоли или панели хостинга | ZeroSSL или SSL For Free через браузер |
| Нужна также защита от DDoS и CDN | Cloudflare (SSL идёт в комплекте) |
| Нужен сертификат для поддоменов | Let's Encrypt Wildcard |
| Аудитория только в России, сайт госоргана или ИП | НУЦ Минцифры через Госуслуги |
| Хочется реже обновлять вручную | Buypass (180 дней) или Let's Encrypt с автопродлением |
Как получить и установить бесплатный SSL-сертификат: пошаговая инструкция
Процесс состоит из трёх этапов: генерации запроса, подтверждения домена и установки файлов на хостинг. Конкретные шаги зависят от выбранного сервиса и панели управления.
Генерация CSR-запроса
CSR (Certificate Signing Request) — это зашифрованный файл с данными о домене и владельце. Он нужен удостоверяющему центру для выпуска сертификата. Большинство веб-интерфейсов (ZeroSSL, FreeSSL) генерируют CSR автоматически. В панелях хостинга это тоже делается в один клик. При ручной установке через Certbot CSR создаётся автоматически.
Подтверждение владения доменом
Удостоверяющий центр должен убедиться, что вы контролируете домен. Есть три способа:
DNS-запись — добавить TXT-запись в настройки домена. Занимает от нескольких минут до нескольких часов (время распространения DNS).
Файл на сервере — загрузить специальный файл в папку сайта по указанному пути. Проверка происходит мгновенно.
Email — письмо на административный адрес домена (admin@, webmaster@ и т.д.).
Установка в панель хостинга
После выдачи сертификата скачиваются три файла: сам сертификат, промежуточный сертификат (цепочка) и приватный ключ. В ISPmanager: раздел «SSL-сертификаты» → «Создать» → вставить содержимое файлов. В cPanel: «SSL/TLS» → «Manage SSL sites» → вставить ключ и сертификат. После установки нужно включить HTTPS в настройках сайта и настроить 301-редиректы с HTTP на HTTPS.
Настройка автопродления
Сертификаты Let's Encrypt и ZeroSSL действуют 90 дней. Без автопродления сайт снова станет небезопасным. Certbot настраивает автопродление через cron или systemd-таймер. Панели хостинга с встроенным Let's Encrypt обновляют сертификат автоматически. Важно проверить, что автопродление действительно работает — за 1–2 недели до истечения сертификата.
Платные и бесплатные SSL: когда бесплатного недостаточно
Для большинства сайтов — блогов, корпоративных страниц, небольших интернет-магазинов — бесплатный DV-сертификат покрывает все потребности. Он обеспечивает шифрование и подтверждает, что домен принадлежит тому, кто его зарегистрировал.
Платные сертификаты имеют смысл в нескольких сценариях.
Банки, финансовые сервисы, страховые компании
Регуляторные требования и стандарты безопасности (PCI DSS) обязывают использовать OV или EV-сертификаты. Это не вопрос выбора.
Крупные корпоративные сайты с юридическими требованиями
OV-сертификат подтверждает существование организации — название компании видно в деталях сертификата. Это важно для партнёров и корпоративных клиентов, которые проверяют подлинность контрагента.
Страховые гарантии
Коммерческие удостоверяющие центры предоставляют страховые выплаты при компрометации сертификата — от нескольких тысяч до миллионов долларов в зависимости от тарифа. У Let's Encrypt и ZeroSSL никаких гарантий нет.
Техническая поддержка
Платные центры предлагают поддержку при установке и возникновении проблем. Let's Encrypt поддерживает только через форумы сообщества.
Если сайт собирает данные через формы — имя, телефон, email — бесплатный DV-сертификат обеспечивает шифрование канала. Этого достаточно для соблюдения базовых требований безопасности. Отдельный вопрос — правильное оформление политики конфиденциальности и согласия пользователей.
Типичная проблема после установки: смешанный контент
После установки сертификата и перехода на HTTPS сайт может по-прежнему показывать предупреждение в браузере. Причина — смешанный контент: страница загружена по HTTPS, но отдельные ресурсы — картинки, скрипты, стили — подключены по HTTP.
Браузер блокирует или помечает такие ресурсы. Замок в адресной строке может исчезнуть или стать серым.
Решение: заменить все HTTP-ссылки на HTTPS в коде сайта. В WordPress это делается плагинами типа Really Simple SSL или через поиск и замену в базе данных. На статических сайтах — правкой шаблонов и конфигурационных файлов.
Контроль срока действия и автообновление
Просроченный сертификат — одна из самых распространённых причин, по которой пользователи видят ошибку безопасности. Браузер блокирует сайт полностью, предупреждая о потенциальной опасности. Поисковые системы тоже это замечают.
Для сертификатов Let's Encrypt автопродление настраивается один раз: Certbot добавляет задачу в планировщик, и сертификат обновляется за 30 дней до истечения. Большинство хостингов с встроенным Let's Encrypt делают это автоматически.
Если сертификат установлен вручную через ZeroSSL или SSL For Free, автопродления нет — нужно помнить о повторном получении каждые 90 дней. Удобнее поставить напоминание в календарь за 2 недели до даты истечения.
Регулярная проверка защиты сайта — это часть технического обслуживания, которую часто откладывают до момента, когда уже возникает проблема.
Частые вопросы
Можно ли использовать бесплатный SSL для интернет-магазина?
Что будет, если сертификат просрочится?
Нужен ли отдельный сертификат для каждого поддомена?
Влияет ли переход с HTTP на HTTPS на позиции в поиске?
Бесплатный SSL хуже защищает, чем платный?
Что такое CSR и нужно ли в нём разбираться?
Главное
Для большинства сайтов бесплатный SSL-сертификат закрывает все потребности. Let's Encrypt устанавливается за несколько минут через панель хостинга и обновляется автоматически. ZeroSSL и SSL For Free подойдут тем, у кого нет доступа к панели и кто предпочитает веб-интерфейс.
Cloudflare — удобный вариант, если нужно одновременно защитить сайт от атак и подключить HTTPS без установки файлов на хостинг. НУЦ Минцифры актуален для государственных ресурсов и организаций с российской аудиторией.
Главное после установки — настроить автопродление или поставить напоминание. Просроченный сертификат закрывает доступ к сайту для большинства посетителей быстрее, чем кажется.