Иногда браузер показывает предупреждение прямо поверх сайта: «Ваше подключение не защищено». Пользователь видит это — и закрывает вкладку. Не потому что сайт плохой, а потому что у него нет SSL-сертификата.
Раньше SSL считался атрибутом интернет-магазинов и банков. Сейчас он нужен любому сайту — даже простой визитке с формой обратной связи.
Хорошая новость: получить сертификат можно бесплатно. Разбираемся, где взять, как установить и что делать дальше.
Зачем сайту необходим SSL-сертификат
Когда пользователь открывает сайт, его браузер устанавливает соединение с сервером. Без шифрования это соединение открытое — данные, которые передаёт пользователь, теоретически может перехватить кто угодно, находящийся «по пути»: провайдер, оператор публичного Wi-Fi, вредоносный скрипт.
SSL-сертификат решает эту проблему. Он устанавливает зашифрованное соединение между браузером и сервером — данные передаются так, что их нельзя прочитать в процессе передачи.
Внешне это выражается в протоколе HTTPS (вместо HTTP) и значке замка в адресной строке.
Защита данных пользователей
Имена, телефоны, пароли и номера карт — всё это передаётся в зашифрованном виде. Перехватить такие данные без ключа шифрования невозможно. Особенно важно для сайтов с формами и личными кабинетами.
Влияние на позиции в поиске
Google ещё в 2014 году объявил HTTPS одним из факторов ранжирования. Яндекс поддержал эту позицию. Сайт без SSL в равных условиях окажется ниже в результатах поиска, чем сайт с ним.
Предупреждение в браузере
Chrome, Firefox, Safari и Edge отображают предупреждение «Небезопасно» или «Ваше подключение не защищено» на сайтах без SSL. Для многих пользователей это достаточная причина уйти, не дочитав страницу.
Требования законодательства
Сайты, которые собирают персональные данные, обязаны обеспечивать их защиту. HTTPS — один из технических способов выполнить это требование. Без шифрования проверка защиты персональных данных выявит нарушение.
Виды SSL-сертификатов и их отличия
Сертификаты отличаются уровнем проверки, которую проходит владелец домена при их получении. От этого зависит цена и то, что именно видит пользователь в браузере.
| Тип | Что проверяется | Кому подходит | Стоимость |
|---|---|---|---|
| DV (Domain Validation) | Только владение доменом | Блоги, лендинги, корпоративные сайты, небольшие магазины | Бесплатно — от 1 000 ₽/год |
| OV (Organization Validation) | Домен + юридическое существование организации | Компании, которым важно подтвердить юридический статус | от 5 000 ₽/год |
| EV (Extended Validation) | Полная проверка организации | Банки, крупные интернет-магазины, финансовые сервисы | от 15 000 ₽/год |
| Wildcard | Домен и все его поддомены | Сайты с множеством поддоменов | от 3 000 ₽/год (есть бесплатные) |
Для большинства сайтов достаточно DV-сертификата. Он обеспечивает полноценное HTTPS-соединение, устраняет предупреждение браузера и влияет на поисковое ранжирование — всё то, ради чего SSL и нужен.
Платные OV и EV сертификаты имеют смысл там, где критически важно показать пользователю юридическую принадлежность компании — например, в онлайн-банкинге или при работе с платежами. Для блога или корпоративного сайта услуг разница незаметна.
Когда бесплатный сертификат не подойдёт
Если нужна расширенная проверка организации (OV/EV), финансовые регуляторы требуют конкретного типа сертификата, или необходима финансовая гарантия от центра сертификации — тогда придётся платить. Для всех остальных случаев бесплатный DV-сертификат полностью справляется с задачей.
Как получить бесплатный сертификат Let's Encrypt
Let's Encrypt — это некоммерческий центр сертификации, который существует с 2016 года. Его создали, чтобы сделать HTTPS доступным для любого сайта, независимо от бюджета владельца.
Сертификаты Let's Encrypt бесплатны, автоматически выпускаются и автоматически продлеваются. За несколько лет он стал стандартом для большинства хостинговых провайдеров.
Через панель управления хостингом
Самый простой способ. Большинство популярных хостингов — Timeweb, Reg.ru, Beget, SpaceWeb, Selectel — интегрировали Let's Encrypt прямо в панель управления. Достаточно выбрать домен и нажать одну кнопку.
Certbot — для тех, кто управляет сервером
Certbot — официальный клиент Let's Encrypt. Устанавливается на сервер, выпускает сертификат и настраивает автоматическое продление. Работает с Apache и Nginx. Подходит тем, у кого VPS или выделенный сервер без удобной панели.
Протокол ACME
ACME — это протокол, по которому Certbot и другие клиенты взаимодействуют с Let's Encrypt. Он автоматически подтверждает право на домен, выпускает сертификат и сохраняет его на сервере. Это и есть основа автоматизации.
Если хостинг поддерживает Let's Encrypt через панель — используйте его. Это займёт меньше минуты и не требует технических знаний. Certbot нужен только тогда, когда доступ к серверу через SSH и нет графического интерфейса.
Подробно о том, как установить SSL-сертификат в зависимости от типа хостинга и панели управления — в отдельном руководстве.
Альтернативные способы получения бесплатного SSL
Let's Encrypt — не единственный вариант. Есть несколько других способов получить бесплатный сертификат, каждый со своими особенностями.
Cloudflare
Cloudflare работает как защитный прокси между пользователем и сервером. При подключении сайта к Cloudflare SSL активируется автоматически — пользователь видит HTTPS, даже если сам сервер работает по HTTP. Бесплатный тариф включает SSL. Дополнительный бонус — защита от DDoS и ускорение загрузки.
ZeroSSL
Ещё один центр сертификации, выпускающий бесплатные DV-сертификаты. Имеет веб-интерфейс без командной строки — удобно для тех, кто не хочет работать с Certbot. Поддерживает протокол ACME, поэтому совместим с теми же инструментами автоматизации.
Buypass
Норвежский центр сертификации. Предлагает бесплатные DV-сертификаты через ACME. Отличается от Let's Encrypt тем, что срок действия сертификата — 180 дней вместо 90. Продлевать нужно реже, хотя при автоматизации это не принципиально.
Конструкторы сайтов
Tilda, Wix, Squarespace, Shopify, Битрикс24 Sites — все они включают SSL автоматически при публикации сайта. Владелец сайта вообще не думает о сертификате: он просто есть.
Какой способ выбрать
Если сайт на конструкторе — SSL уже есть. Если на обычном хостинге — идите в панель управления и ищите раздел SSL или Let's Encrypt. Если управляете VPS самостоятельно — Certbot или любой ACME-клиент. Cloudflare подходит как дополнение к любому из вариантов, особенно если нужна защита от атак. Полный обзор бесплатных SSL-сертификатов для сайта с плюсами и минусами каждого варианта — по ссылке.
Пошаговая инструкция по установке SSL на сайт
Процесс установки отличается в зависимости от хостинга и способа получения сертификата. Здесь — общая схема, которая описывает логику процесса.
Генерация CSR-запроса
CSR (Certificate Signing Request) — это запрос на выпуск сертификата. Он содержит информацию о домене и владельце. При получении через Let's Encrypt или панель хостинга CSR генерируется автоматически. При ручной установке — через OpenSSL командой openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr.
Подтверждение прав на домен
Центр сертификации должен убедиться, что сертификат запрашивает реальный владелец домена. Есть три способа: разместить специальный файл в директории сайта (HTTP-валидация), добавить TXT-запись в DNS домена (DNS-валидация), или ответить на письмо на административный email домена. Let's Encrypt использует HTTP или DNS.
Загрузка файлов сертификата на сервер
После подтверждения центр выдаёт три файла: сам сертификат (.crt или .pem), цепочку промежуточных сертификатов (chain или ca-bundle) и приватный ключ (.key). Все три нужно указать в настройках веб-сервера (Apache или Nginx) или загрузить через панель управления хостингом.
Проверка установки
После установки откройте сайт по адресу https://ваш-домен.ru и проверьте значок замка в адресной строке. Для детальной проверки используйте SSL Labs (ssllabs.com/ssltest) — он покажет уровень защиты и потенциальные проблемы.
На большинстве хостингов всё это — нажатие одной кнопки. Ручная установка нужна только при работе с VPS без удобного интерфейса или при использовании нестандартных конфигураций.
Настройка сайта после установки SSL
Установить сертификат — это половина работы. Сам по себе он не переводит сайт на HTTPS автоматически: нужно настроить несколько вещей, чтобы всё работало правильно.
Настройка 301-редиректа с HTTP на HTTPS
Без редиректа сайт будет доступен по двум адресам одновременно: http://site.ru и https://site.ru. Это плохо для SEO (дублирование страниц) и запутывает пользователей.
Для Apache добавьте в файл .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Для Nginx — директива return 301 https://$host$request_uri; в блоке server для порта 80.
Исправление ошибок смешанного контента
После перехода на HTTPS может появиться предупреждение о смешанном контенте (Mixed Content). Это значит, что страница загружается по HTTPS, но некоторые элементы — картинки, скрипты, стили — всё ещё подгружаются по HTTP.
Браузер блокирует такие элементы или показывает предупреждение — замок перестаёт быть зелёным. Нужно найти все ссылки на http:// в коде сайта и заменить их на https:// или на протокол-независимые ссылки вида //cdn.example.com/script.js.
Как найти Mixed Content
Откройте инструменты разработчика в браузере (F12), перейдите на вкладку Console и загрузите страницу. Все проблемы со смешанным контентом будут отображены как предупреждения. Либо используйте онлайн-сервисы для автоматического сканирования — они найдут проблемные ссылки по всему сайту.
Обновление в поисковых системах
Google Search Console
Добавьте HTTPS-версию сайта как отдельное свойство (если ещё не добавлена). Загрузите обновлённый файл sitemap.xml, где все URL начинаются с https://. Google воспримет это как сигнал к переиндексации.
Яндекс.Вебмастер
Также добавьте HTTPS-версию как отдельный сайт. В разделе «Индексирование» → «Переезд сайта» есть инструмент для смены адреса с HTTP на HTTPS. Это ускорит обновление позиций в Яндексе.
Ссылки на сайт
Если адрес сайта указан во внешних профилях — социальных сетях, каталогах, справочниках — обновите его там тоже. 301-редирект сохранит «вес» ссылок, но лучше, чтобы они сразу вели на правильный адрес.
Продление бесплатного сертификата
Бесплатные сертификаты Let's Encrypt и ZeroSSL действуют только 90 дней. Это принципиальное отличие от платных, которые выдаются на год или дольше.
Короткий срок — осознанное решение. Он стимулирует автоматизацию и снижает риски: если ключ скомпрометирован, злоумышленнику остаётся меньше времени для его использования.
Почему 90 дней — это не проблема
Автоматическое продление через хостинг
Большинство хостингов, которые предлагают Let's Encrypt через панель управления, настраивают автопродление автоматически. Сертификат обновляется за 30 дней до истечения без каких-либо действий со стороны владельца.
Cron-задача для Certbot
При ручной установке через Certbot команда certbot renew проверяет все установленные сертификаты и продлевает те, до истечения которых осталось менее 30 дней. Её добавляют в планировщик задач (cron), чтобы она запускалась автоматически — например, дважды в день.
Уведомление по email
Let's Encrypt отправляет предупреждения на email за 20 и 7 дней до истечения сертификата. Если автопродление настроено и сработало — уведомлений не будет. Письмо — сигнал, что что-то пошло не так и нужно проверить статус.
На практике при правильной настройке владелец сайта вообще не вспоминает о продлении. Сертификат обновляется в фоне, и сайт продолжает работать без перебоев.
Проблемы возникают, когда автопродление не было настроено с самого начала или что-то сломалось в его настройке. Если сертификат истёк — браузеры начнут показывать критическое предупреждение, и сайт станет фактически недоступным для большинства пользователей.
Что делать, если сертификат истёк
Если сайт начал показывать ошибку SSL-сертификата — нужно немедленно выпустить новый. Через панель хостинга это займёт несколько минут. После выпуска может потребоваться несколько минут на распространение изменений.
Частые вопросы
Влияет ли тип SSL-сертификата (бесплатный или платный) на позиции в поиске?
Можно ли получить бесплатный SSL для нескольких доменов сразу?
Нужен ли SSL-сертификат, если на сайте нет форм и не собираются данные?
Почему после установки SSL замок не отображается или показывается с предупреждением?
Как проверить, правильно ли установлен SSL-сертификат?
Совместим ли бесплатный SSL с требованиями 152-ФЗ?
Главное
SSL-сертификат нужен любому сайту — не только тем, где есть оплата или регистрация. Браузеры давно сделали HTTPS стандартом, и любое отступление от него видно пользователю в виде предупреждения.
Бесплатный сертификат Let's Encrypt закрывает потребности большинства сайтов полностью. Он обеспечивает шифрование, убирает предупреждение браузера, влияет на поисковые позиции и соответствует требованиям законодательства о защите персональных данных.
Получить его проще всего через панель управления хостингом — это занимает несколько минут. После установки важно настроить 301-редирект, исправить смешанный контент и обновить сайт в поисковых панелях.
Автопродление снимает необходимость следить за сроком действия сертификата вручную. При правильной настройке об SSL можно просто забыть — он будет работать сам.