SSL-сертификат для сайта: зачем нужен и как получить бесплатно в 2026

Что такое SSL/TLS и почему сайту нужен HTTPS

SSL (Secure Sockets Layer) — устаревший протокол. Современный — TLS (Transport Layer Security). Но термин «SSL-сертификат» закрепился.

Что делает сертификат:

• Шифрует трафик между браузером и сервером. Без HTTPS логины, пароли, платёжные данные передаются в открытом виде — на любой Wi-Fi-точке их можно перехватить.
• Подтверждает подлинность сайта. Сертификат выдан удостоверяющим центром (Let's Encrypt, DigiCert, etc.) после проверки, что вы владелец домена.

С 2018 года Chrome помечает любой сайт без HTTPS как «Небезопасный». В 2026 это уже минимальный стандарт — сайт без HTTPS теряет до 40% мобильного трафика просто из-за предупреждения браузера.

SSL и SEO

• Google официально признал HTTPS фактором ранжирования с 2014 года. Влияние небольшое (~1-3% позиции), но при прочих равных HTTPS-сайт ранжируется выше.
• Яндекс считает HTTPS техническим показателем качества. Не игнорирует, но и не даёт жёсткий буст.
• Поведенческие факторы заметнее: пользователи быстрее уходят с «Небезопасных» сайтов, что косвенно бьёт по позициям.

Проверить SSL своего сайта: онлайн-валидатор SSL — мы покажем срок действия, удостоверяющий центр, поддерживаемые версии TLS и потенциальные проблемы.

Виды сертификатов

DV (Domain Validation)

Проверяется только владение доменом. Выдаётся за минуты. Бесплатный Let's Encrypt — это DV. Подходит для большинства сайтов: блогов, лендингов, корпоративных сайтов, небольших магазинов.

OV (Organization Validation)

Дополнительно проверяется юрлицо. Выдаётся за 1-3 дня. Платно (~5-15 тыс. ₽/год). Имеет смысл для средних компаний, которые хотят показать «реальную организацию» в браузере (показывается при клике на замок).

EV (Extended Validation)

Углублённая проверка организации. Раньше показывался зелёной плашкой с названием компании в адресной строке. С 2019 года Chrome и Firefox эту плашку убрали — экономический смысл EV почти исчез. Сейчас актуально только для банков и платёжных систем.

Wildcard

Действует на все поддомены: *.example.com. Нужен если у вас blog.example.com, shop.example.com, и т.д. Бесплатно через Let's Encrypt с 2018 года.

SAN (Multi-Domain)

Один сертификат для нескольких доменов. Используется редко.

Как получить бесплатный SSL: Let's Encrypt

Let's Encrypt — бесплатный удостоверяющий центр от Mozilla, Cisco, Akamai и других. Сертификаты выдаются автоматически через ACME-протокол. Срок действия — 90 дней с автоматическим продлением.

На VPS/выделенном сервере

Самый популярный путь — certbot:

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d example.com -d www.example.com

Certbot сам отредактирует nginx-конфиг, добавит SSL-блок, настроит редирект 80→443, и пропишет cron для автопродления. На всё уходит 1-2 минуты.

На общем хостинге (Beget, Timeweb, REG.RU)

В панели хостинга есть пункт «SSL-сертификаты» → «Подключить Let's Encrypt». Всё происходит автоматически за 5-10 минут.

Через Cloudflare

Если сайт за Cloudflare — Cloudflare даёт бесплатный сертификат на edge автоматически при подключении. От сервера до Cloudflare можно использовать самоподписанный сертификат (Cloudflare Origin Certificate).

Переход с HTTP на HTTPS без потери SEO

Это критичный момент. Половина проблем с трафиком после смены протокола — из-за неправильной миграции.

Чек-лист:

1. Установите сертификат и проверьте

Валидатор SSL должен показать:

• статус Valid
• срок действия > 60 дней
• TLS 1.2 / 1.3 поддерживается
• TLS 1.0 / 1.1 отключены (устаревшие)

2. Настройте 301-редирект с http на https

Nginx:

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

Apache (.htaccess):

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

301 — только постоянный. 302 не передаёт SEO-вес.

3. Обновите внутренние ссылки

Все <a href="http://example.com/..."> поменяйте на https://example.com/... (или относительные). Если оставить http — браузер будет принудительно редиректить, добавляя задержку.

4. Обновите sitemap.xml

Все <loc> должны быть с https. Проверка sitemap.

5. Обновите robots.txt

Особенно Sitemap: строку. Валидация robots.txt.

6. Обновите canonical-теги

Все <link rel="canonical"> должны указывать на https.

7. Добавьте новую версию сайта в Search Console и Вебмастер

Это отдельный ресурс для них:

• https://example.com ≠ http://example.com
• https://www.example.com ≠ https://example.com

Каждый вариант с www / без www / http / https — отдельный ресурс. Добавьте все 4, в каждом подтвердите права собственности.

8. В Search Console используйте «Изменение адреса»

Настройки → Изменение адреса — официальная процедура переезда. Google поймёт, что сайт переехал, не как новый.

9. Поднимите внешние ссылки (где возможно)

Свяжитесь с площадками, у которых стоит ссылка на http-версию — попросите обновить. Через 301 они тоже работают, но прямые ссылки на https быстрее передают вес.

10. Включите HSTS

После того как HTTPS стабильно работает 1-2 месяца — добавьте заголовок:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Это говорит браузеру всегда использовать HTTPS, даже если пользователь ввёл http. Защищает от downgrade-атак.

Типичные ошибки

• Mixed content — HTML загружается по https, но картинки/JS по http. Браузер блокирует. Пройдитесь по коду и шаблонам, замените все http-ресурсы.
• Сертификат истёк. Let's Encrypt продлевается автоматически, но если cron не отработал — сайт ложится. Регулярная проверка SSL спасает.
• Self-signed сертификат на проде — браузеры дают «Untrusted». Получите валидный через Let's Encrypt.
• Неверный CommonName — сертификат на example.com не подходит для www.example.com без SAN или wildcard.

Что делать дальше

1. Проверьте свой текущий SSL — онлайн-валидатор. Срок действия, версии TLS, цепочка сертификатов.
2. Если нет HTTPS — установите бесплатный Let's Encrypt сегодня, это занимает 10 минут.
3. После перехода — прогоните весь чек-лист выше (sitemap, robots, canonical, редиректы).
4. Мини-отчёт о сайте — увидите HTTPS-статус, мета-теги и другие базовые показатели в одном месте.

В 2026 году отсутствие HTTPS — это не просто SEO-минус, это причина, по которой пользователи закрывают вкладку через секунду. Платить за SSL не нужно — Let's Encrypt покрывает 99% потребностей.