Зачем сайту HTTPS в 2026 году
HTTPS (HyperText Transfer Protocol Secure) — это защищённая версия HTTP. Данные между браузером пользователя и сервером шифруются с помощью SSL/TLS-сертификата. В 2026 году HTTPS — не опция, а базовое требование к любому сайту. Вот четыре причины.
SEO: фактор ранжирования в Яндексе и Google
Google ещё в 2014 году объявил HTTPS фактором ранжирования. Яндекс подтвердил то же самое в своих технических требованиях к сайтам. При прочих равных HTTPS-сайт занимает более высокую позицию в выдаче, чем его HTTP-аналог.
Это не теоретический фактор. Исследования показывают, что более 95% результатов на первой странице Google используют HTTPS. В Яндексе ситуация аналогична — алгоритмы учитывают наличие защищённого соединения как один из сигналов качества сайта.
Браузеры: «Не безопасно» отпугивает клиентов
Chrome помечает все HTTP-сайты как «Не безопасно» в адресной строке. С октября 2026 года (Chrome 154) браузер будет по умолчанию запрашивать разрешение пользователя перед открытием HTTP-страницы — по аналогии с предупреждениями о вредоносных сайтах.
Яндекс.Браузер с технологией Protect блокирует опасные страницы и предупреждает пользователей о незащищённых соединениях. Firefox, Safari, Edge — все современные браузеры действуют аналогично.
Конверсия: 85% уходят при предупреждении
Исследования показывают, что примерно 85% посетителей покидают сайт, увидев предупреждение браузера о небезопасном соединении. Пользователи не разбираются в деталях — они видят «Не безопасно» и закрывают вкладку.
Обратная сторона: переход на HTTPS даёт измеримый результат. Типичный кейс после установки SSL-сертификата:
- Трафик: +27% за 3 месяца (за счёт роста позиций)
- Отказы: −18% (пользователи не пугаются предупреждений)
- Конверсия: +12% (доверие к сайту выше)
ФЗ-152: юридическое требование
Статья 19 Федерального закона «О персональных данных» (ФЗ-152) обязывает оператора принимать технические меры защиты персональных данных. Если на вашем сайте есть форма обратной связи, заказа, записи на приём или регистрации — вы собираете персональные данные.
Сайт с формой, работающий по HTTP, передаёт имена, телефоны и email-адреса клиентов в открытом виде. Это формальное основание для претензий Роскомнадзора. Полный список требований — в чек-листе соответствия ФЗ-152. HTTPS — минимальная техническая мера, которая закрывает этот риск.
Типы SSL-сертификатов: DV, OV, EV
SSL-сертификаты делятся на три типа по уровню проверки владельца. Важно понимать: уровень шифрования у всех одинаковый (AES-256). Разница только в том, что именно удостоверяющий центр проверяет перед выдачей.
| Тип | Проверка | Срок выдачи | Для кого | Стоимость |
|---|---|---|---|---|
| DV (Domain Validation) | Только домен | Минуты | Блоги, лендинги, малый бизнес | Бесплатно — 1 500 ₽/год |
| OV (Organization Validation) | Домен + юрлицо | 1–3 дня | Интернет-магазины, сервисные компании | 3 000 — 10 000 ₽/год |
| EV (Extended Validation) | Расширенная проверка | 3–7 дней | Банки, крупный e-commerce | 10 000 — 50 000 ₽/год |
«Зелёная строка» EV — миф. С 2020 года все основные браузеры (Chrome, Firefox, Safari, Edge) убрали визуальное отличие EV-сертификатов. Пользователь видит одинаковый замок в адресной строке, независимо от типа сертификата. Платить 50 000 ₽ в год за то, что никто не видит — нерационально.
Wildcard-сертификаты
Wildcard SSL защищает домен и все его поддомены: *.example.com — то есть www.example.com, shop.example.com, blog.example.com и любые другие. Доступен как бесплатный (Let’s Encrypt) так и платный.
Сокращение сроков сертификатов
Важный тренд: с марта 2026 года срок действия SSL-сертификатов сокращается до 200 дней, а к 2029 году — до 47 дней. Это решение CA/Browser Forum, которое поддержали Apple, Google и Mozilla. Ручное продление станет невозможным — автоматизация через Certbot или аналоги становится необходимостью.
Как получить SSL бесплатно: 4 способа
Бесплатный DV-сертификат обеспечивает тот же уровень шифрования, что и платный за 50 000 ₽. Вот четыре способа получить его.
1. Let’s Encrypt + Certbot
Основной способ, которым пользуется более 60% всех сайтов в интернете. Let’s Encrypt — бесплатный, автоматизированный удостоверяющий центр, созданный некоммерческой организацией ISRG.
Установка на сервер с Nginx:
# Установка Certbot (Ubuntu/Debian)
sudo apt update
sudo apt install certbot python3-certbot-nginx
# Получение сертификата
sudo certbot --nginx -d example.com -d www.example.com
# Проверка автопродления
sudo certbot renew --dry-runСертификат выдаётся на 90 дней. Certbot автоматически настраивает cron-задачу для продления — вмешательство не требуется. Единственное условие: сервер должен быть доступен по портам 80 или 443.
2. Cloudflare Free SSL
Cloudflare предоставляет бесплатный SSL даже на бесплатном тарифе. Настройка:
- Зарегистрируйтесь на cloudflare.com и добавьте домен
- Смените NS-серверы у регистратора на серверы Cloudflare
- В разделе SSL/TLS выберите режим шифрования
Режимы SSL в Cloudflare:
- Flexible — шифрование только между пользователем и Cloudflare. Между Cloudflare и вашим сервером — HTTP. Подходит как временное решение, но не рекомендуется
- Full — шифрование на обоих участках, но сертификат на сервере может быть самоподписанным
- Full (Strict) — оба участка зашифрованы, на сервере должен быть валидный сертификат. Рекомендуемый режим
3. Через хостинг-провайдера
Большинство российских хостингов предоставляют бесплатный SSL из панели управления:
- REG.RU — бесплатный DV-сертификат для доменов .ru и .com, активация в один клик
- Timeweb — Let’s Encrypt из панели, автопродление встроено
- Beget — бесплатный SSL с автоматической установкой
- SpaceWeb — Let’s Encrypt через ISPmanager
Это самый простой способ для тех, кто не хочет работать с командной строкой. Зайдите в панель хостинга, найдите раздел «SSL» или «Безопасность» и активируйте сертификат для домена.
4. НУЦ Минцифры (российский сертификат)
С 2025 года Национальный удостоверяющий центр Минцифры выдаёт бесплатные SSL-сертификаты через Госуслуги. Однако есть критическое ограничение:
- Поддерживается только Яндекс.Браузером и браузером Атом
- Chrome, Firefox, Safari, Edge — НЕ доверяют российскому корневому сертификату
- Пользователи этих браузеров увидят предупреждение «Не безопасно»
Вывод: сертификат НУЦ Минцифры не подходит как единственный сертификат для обычного бизнес-сайта. Его используют госсайты и банки (Сбербанк, РСХБ, НСПК) параллельно с международными сертификатами.
Переход на HTTPS: пошаговый план
Переход с HTTP на HTTPS — это не просто установка сертификата. Ошибки при миграции могут привести к потере позиций в поиске, битым страницам и проблемам с конверсией. Вот пошаговый план:
- Получите SSL-сертификат — через Let’s Encrypt, хостинг или Cloudflare (см. раздел выше)
- Установите на сервер или активируйте в панели хостинга. Проверьте, что сайт открывается по
https:// - Настройте 301-редирект с HTTP на HTTPS для всех URL. Для Nginx:
Для Apache (.htaccess):server { listen 80; server_name example.com www.example.com; return 301 https://$host$request_uri; }RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] - Обновите все внутренние ссылки на
https://. Проверьте меню, подвал, контент страниц, ссылки в виджетах - Исправьте mixed content — найдите и замените все ресурсы (изображения, скрипты, CSS, шрифты), которые загружаются по HTTP. Используйте консоль браузера (F12 → Console) для поиска предупреждений
- Обновите sitemap.xml — все URL должны начинаться с
https:// - Обновите robots.txt — укажите путь к обновлённому sitemap:
Sitemap: https://example.com/sitemap.xml - Укажите переезд в Яндекс.Вебмастере — раздел «Индексирование» → «Переезд сайта». Отметьте «Добавить HTTPS». Это критический шаг — без него Яндекс будет считать HTTP и HTTPS версии разными сайтами
- Обновите Google Search Console — добавьте HTTPS-версию как отдельный ресурс и подайте новый sitemap
- Проверьте работу форм, оплаты, интеграций — формы обратной связи, платёжные модули, CRM-интеграции, виджеты онлайн-чатов. Всё должно работать по HTTPS
5 ошибок при переходе на HTTPS
Эти ошибки совершают чаще всего — каждая из них может обнулить эффект от перехода на HTTPS. Многие из этих проблем выявляет наш SEO-аудит:
| Ошибка | Последствие | Решение |
|---|---|---|
| Mixed content | Страница по HTTPS, но изображения/скрипты по HTTP. Браузер блокирует ресурсы или показывает предупреждение | Заменить http:// на https:// или использовать протокол-относительные URL (//example.com/img.jpg) |
| Нет 301-редиректа | HTTP и HTTPS версии существуют параллельно. Поисковик видит два дубля сайта, вес страниц размывается | Настроить 301-редирект с HTTP на HTTPS для всех URL в конфиге веб-сервера |
| Не обновлены внутренние ссылки | Цепочки редиректов (http → https), потеря краулингового бюджета, замедление индексации | Массовая замена http:// на https:// во всех страницах, шаблонах и базе данных |
| Не обновлён sitemap.xml | Поисковик индексирует старые HTTP-URL, новые HTTPS-страницы не попадают в индекс | Перегенерировать sitemap.xml со всеми URL по HTTPS, подать в Яндекс.Вебмастер и Google Search Console |
| Не указан переезд в Яндекс.Вебмастере | Яндекс не знает о переезде, позиции проседают на 2–4 недели или дольше | Раздел «Переезд сайта» в Яндекс.Вебмастере — отметить «Добавить HTTPS» |
Проверить наличие mixed content можно в консоли браузера (F12 → Console → ищите ошибки «Mixed Content») или с помощью онлайн-инструментов: Why No Padlock, JitBit SSL Checker, Missing Padlock.
Российский контекст: НУЦ Минцифры и Let’s Encrypt
В 2025–2026 годах ситуация с SSL-сертификатами в России имеет свои особенности.
Let’s Encrypt: работает, но с перебоями
Let’s Encrypt продолжает работать в России, однако РКН периодически блокирует часть его инфраструктуры. С июня 2025 года наблюдаются проблемы из-за блокировок IP-адресов Cloudflare, через которые работает часть серверов Let’s Encrypt.
Что делать:
- Мониторить даты продления сертификатов (Certbot отправляет уведомления на email)
- Настроить оповещения через сервисы мониторинга (UptimeRobot, Яндекс.Мониторинг)
- Иметь backup-план: Cloudflare Free SSL или платный сертификат от Sectigo/DigiCert
НУЦ Минцифры: только для госсектора
Закон о Национальном удостоверяющем центре вступил в силу с 01.09.2025, полное вступление — с 01.06.2026. На данный момент сертификаты НУЦ используются:
- Государственными сайтами (Госуслуги, ФНС, ФССП)
- Банками (Сбербанк, Россельхозбанк, НСПК/МИР)
- Критической инфраструктурой
Для обычного бизнес-сайта НУЦ пока не подходит: Chrome, Firefox и Safari не доверяют российскому корневому сертификату. Посетители с этими браузерами (а это более 60% аудитории) увидят предупреждение.
Международные сертификаты
Платные сертификаты от Sectigo, DigiCert, GlobalSign — по-прежнему доступны для покупки российским компаниям и не попали под санкции. Стоимость DV-сертификата — от 1 000 до 3 000 ₽ в год. Имеет смысл как резервный вариант.
Рекомендация
Let’s Encrypt как основной + мониторинг продления + готовность переключиться на Cloudflare или платный международный сертификат в случае блокировки. Это оптимальная стратегия для российского бизнеса в 2026 году.
Чеклист перехода на HTTPS
Используйте этот чеклист после установки SSL-сертификата, чтобы ничего не упустить:
- SSL-сертификат установлен и активен (замок в адресной строке)
- 301-редирект с http:// на https:// настроен для всех URL
- Нет mixed content — все ресурсы (изображения, скрипты, CSS, шрифты) загружаются по HTTPS
- Внутренние ссылки обновлены на https://
- sitemap.xml содержит URL с https://
- robots.txt указывает на https:// sitemap
- Яндекс.Вебмастер: указан переезд на HTTPS
- Google Search Console обновлена, подан новый sitemap
- Формы, оплата, интеграции работают корректно по HTTPS
- Автопродление сертификата настроено (Certbot cron или автопродление хостинга)
Если вы сомневаетесь, всё ли настроено правильно — наш SEO-аудит автоматически проверяет наличие SSL, корректность редиректов, mixed content и другие технические параметры.