Браузер открывает сайт и сразу показывает предупреждение: «Незащищённое соединение». Многие закрывают такую страницу, не читая дальше. Именно этот момент — первый признак того, что сайт работает без SSL-сертификата.
Чтобы разобраться, зачем он нужен, достаточно понять одну вещь: каждый раз, когда пользователь вводит данные на сайте, эти данные куда-то летят. Вопрос в том, кто может их прочитать по дороге.
Что такое SSL-сертификат и как он работает
SSL — это протокол шифрования. Он превращает данные, которые передаются между браузером пользователя и сервером сайта, в нечитаемый набор символов. Даже если кто-то перехватит этот поток — расшифровать его без специального ключа не получится.
Технически SSL давно сменился протоколом TLS, но в обиходе оба названия используются как синонимы. Когда говорят «установить SSL» — имеют в виду именно TLS-шифрование.
Внешний признак работающего сертификата — адрес сайта начинается с https://, а не с http://. Буква «s» означает «secure» — защищённый. В адресной строке браузера рядом с адресом появляется значок замка.
HTTP против HTTPS
При HTTP данные передаются открытым текстом: их теоретически может прочитать любой, кто находится на том же сетевом маршруте. При HTTPS данные зашифрованы: браузер и сервер обмениваются информацией через защищённый канал, который создаётся для каждой сессии отдельно.
Что именно делает SSL-сертификат
Сертификат выполняет три задачи одновременно. Каждая из них важна, и по отдельности ни одна не даёт полной защиты.
Шифрование данных
Всё, что пользователь вводит в формы — логин, пароль, номер карты, адрес, телефон — передаётся в зашифрованном виде. Без ключа расшифровать это невозможно.
Аутентификация сервера
Сертификат подтверждает: пользователь попал именно на тот сайт, а не на его копию. Браузер проверяет подлинность сертификата при каждом соединении.
Целостность данных
SSL гарантирует, что данные не были изменены в процессе передачи. Если что-то было подменено — соединение разрывается.
Зачем SSL нужен конкретному сайту
Для посетителя всё просто: без замка в браузере многие уходят, не доверяя сайту. Это не паранойя — браузеры Chrome, Firefox и Safari намеренно показывают предупреждения на HTTP-страницах, где есть формы с полями ввода.
Для владельца сайта ставки выше. Если сайт собирает персональные данные — имена, телефоны, адреса — передача этих данных без шифрования нарушает требования 152-ФЗ. Закон обязывает обеспечить безопасность данных при обработке. Открытый HTTP-канал этому требованию не отвечает.
Сайты, которые принимают платежи, обязаны использовать HTTPS по требованиям платёжных систем. Это не рекомендация — это условие подключения эквайринга.
Защита персональных данных пользователей
Любые данные, которые пользователь вводит в форму — от email до номера паспорта — передаются в зашифрованном виде. Перехватить их в пути становится бессмысленным.
Отсутствие предупреждений браузера
Современные браузеры блокируют или предупреждают о незащищённых сайтах. Замок в адресной строке — первый сигнал доверия до того, как пользователь прочитал хоть одно слово на странице.
Доверие посетителей
Особенно заметно на коммерческих сайтах. Пользователь охотнее оставляет данные там, где видит защищённое соединение. Сайт без HTTPS вызывает подозрение уже на этапе открытия страницы.
Как SSL влияет на позиции сайта в поиске
Google официально учитывает наличие HTTPS как один из сигналов ранжирования. Яндекс тоже принимает безопасность сайта во внимание при формировании выдачи.
Это не означает, что SSL сам по себе выведет сайт в топ. Но при прочих равных — два похожих сайта, один на HTTP, другой на HTTPS — преимущество у защищённого.
Есть и косвенный эффект. Браузеры показывают предупреждения на незащищённых страницах — пользователи уходят. Высокий показатель отказов ухудшает поведенческие метрики, которые поисковики тоже учитывают. Таким образом, отсутствие SSL бьёт по позициям дважды: как технический сигнал и как поведенческий фактор.
Отдельная история — смешанное содержимое (mixed content): когда сам сайт работает на HTTPS, но часть ресурсов — картинки, скрипты, стили — подгружается по HTTP. Браузер в этом случае либо блокирует такие ресурсы, либо показывает предупреждение. Поисковики это тоже замечают.
Виды SSL-сертификатов и как выбрать подходящий
Сертификаты отличаются по уровню проверки владельца сайта. Чем строже проверка — тем больше доверия, но и тем дольше процесс получения.
| Тип | Что проверяется | Кому подходит |
|---|---|---|
| DV (Domain Validation) | Только факт владения доменом | Блоги, портфолио, информационные сайты, малый бизнес |
| OV (Organization Validation) | Домен + юридическое существование организации | Корпоративные сайты, интернет-магазины |
| EV (Extended Validation) | Расширенная проверка компании | Банки, финансовые сервисы, крупный ритейл |
| Wildcard | Один сертификат для домена и всех поддоменов | Сайты с несколькими поддоменами (shop.example.ru, blog.example.ru) |
| Multi-Domain (SAN) | Один сертификат для нескольких разных доменов | Компании с несколькими сайтами на разных доменах |
Бесплатные сертификаты
Для большинства сайтов достаточно бесплатного DV-сертификата. Самый распространённый источник — Let's Encrypt. Он выдаёт сертификаты автоматически и обновляет их каждые 90 дней. Многие хостинги подключают его в один клик. Подробнее о вариантах — в обзоре бесплатных SSL-сертификатов для сайта.
Что происходит, если сертификата нет
Самый очевидный риск — предупреждение в браузере. Chrome помечает HTTP-сайты с формами как «Небезопасные» прямо в адресной строке. Пользователь видит это до того, как начал читать.
Следующий риск — перехват данных. Атака «человек посередине» (Man-in-the-Middle) позволяет злоумышленнику, находящемуся в той же сети, перехватывать незашифрованный трафик. Кафе, аэропорт, общественный Wi-Fi — типичная среда для таких атак. Без SSL пользователь этого не узнает.
Для владельца сайта, который обрабатывает персональные данные, отсутствие шифрования — это нарушение требований защиты данных. При проверке Роскомнадзором это может стать основанием для предписания или штрафа.
Репутационные последствия сложнее измерить, но они реальны. Сайт без замка воспринимается как устаревший или ненадёжный — даже если контент там полезный.
Предупреждения в браузерах
Chrome, Safari, Firefox показывают пометку «Незащищённое» на страницах с формами. Часть пользователей уходит сразу.
Уязвимость к перехвату данных
Данные форм передаются открытым текстом. В публичных сетях их можно перехватить без специальных знаний.
Потеря позиций в поиске
Google и Яндекс учитывают HTTPS при ранжировании. HTTP-сайт находится в заведомо худших условиях, чем конкурент с сертификатом.
Риски при проверке защиты персональных данных
Отсутствие шифрования при сборе данных — нарушение требований безопасности по 152-ФЗ.
Как проверить наличие и срок действия сертификата
Самый быстрый способ — открыть сайт в браузере и посмотреть на адресную строку. Замок — сертификат есть. Перечёркнутый замок или пометка «Незащищено» — нет или истёк.
Если нажать на замок, браузер покажет информацию о сертификате: кому выдан, кем, до какой даты действует. Это занимает пять секунд.
Для более детальной проверки — например, чтобы убедиться, что сертификат охватывает все поддомены или правильно настроена цепочка доверия — используют онлайн-инструменты. SSL Labs от Qualys проверяет конфигурацию и выдаёт подробный отчёт с оценкой от A до F.
Сертификаты имеют срок действия — как правило, от 90 дней до года. Когда сертификат истекает, браузер начинает показывать ошибку, и сайт становится недоступным для части пользователей. Поэтому важно либо настроить автопродление, либо следить за датой истечения.
После установки сертификата нужно убедиться, что на сайте нет смешанного содержимого: все ресурсы должны загружаться по HTTPS, иначе защита будет неполной.
Если сертификат уже установлен и нужно разобраться с остальными требованиями к защите данных, можно воспользоваться проверкой сайта на соответствие 152-ФЗ.
Частые вопросы
Нужен ли SSL, если сайт не собирает данные — только текст и картинки?
Чем платный сертификат лучше бесплатного?
Сертификат защищает сайт от взлома?
Что будет, если сертификат истечёт?
Как установить SSL-сертификат на сайт?
Главное
SSL-сертификат шифрует данные между браузером и сервером. Без него данные из форм передаются открытым текстом — их можно перехватить в пути.
Для сайтов, которые собирают персональные данные, HTTPS — не опция, а требование. Браузеры предупреждают пользователей о незащищённых формах, поисковики учитывают протокол при ранжировании.
Бесплатный DV-сертификат закрывает потребности большинства сайтов. Установить его занимает несколько минут — особенно если хостинг поддерживает автоматическое подключение Let's Encrypt.