HTTPS (Hypertext Transfer Protocol Secure) — это зашифрованная версия HTTP, протокола, который браузеры используют для связи с сайтами. Когда сайт использует HTTPS, все данные между вашим браузером и сервером шифруются, что не позволяет никому посередине их прочитать или изменить.
Вы можете определить, что сайт использует HTTPS, по префиксу https:// в URL и значку замка в адресной строке браузера. По состоянию на 2026 год 86,9% сайтов используют HTTPS, и браузеры отмечают все HTTP-сайты как «Не защищено».
Как работает HTTPS
HTTPS добавляет шифрование TLS (Transport Layer Security) поверх обычного HTTP. Когда вы посещаете HTTPS-сайт, за миллисекунды происходит TLS-рукопожатие:
- Браузер подключается — отправляет серверу поддерживаемые версии TLS, наборы шифров и случайное число
- Сервер отвечает — отправляет выбранный набор шифров, свой SSL/TLS-сертификат (содержащий открытый ключ) и случайное число
- Браузер проверяет — не истек ли сертификат, совпадает ли домен, подписан ли он доверенным удостоверяющим центром
- Согласование сессионного ключа — обе стороны используют асимметричное шифрование (обмен ключами Diffie-Hellman) для выработки общего секретного сессионного ключа
- Начало зашифрованного обмена — все последующие данные шифруются симметричным сессионным ключом
После рукопожатия все зашифровано: HTML, изображения, CSS, JavaScript, отправки форм, куки, ответы API и URL-пути.
Подробнее: как работает SSL/TLS →
HTTP и HTTPS
| HTTP | HTTPS | |
|---|---|---|
| Шифрование | Нет — данные передаются открытым текстом | Все данные зашифрованы TLS |
| Порт по умолчанию | 80 | 443 |
| Префикс URL | http:// | https:// |
| Требуется сертификат | Нет | Да (SSL/TLS-сертификат) |
| Индикатор браузера | Предупреждение «Не защищено» | Значок замка |
| Целостность данных | Нет — данные могут быть изменены в пути | Да — подделка обнаруживается |
| Аутентификация | Нет — нет доказательства подлинности сервера | Сертификат подтверждает подлинность сервера |
| Сигнал SEO | Отрицательный (с 2014 года) | Положительный (фактор ранжирования Google) |
| Поддержка HTTP/2 | Нет (на практике) | Да — более быстрая загрузка страниц |
| Требуется для | Ничего современного | Service Workers, геолокации, камеры/микрофона, платежных форм |
Разница не только в безопасности — HTTPS открывает доступ к современным веб-возможностям, которые HTTP не может использовать. Браузеры ограничивают Service Workers, Geolocation API, Clipboard API и другие мощные API только HTTPS-источниками.
Почему каждому сайту нужен HTTPS
Конфиденциальность
Без HTTPS любой в той же сети может видеть все, что вы делаете. Оператор Wi-Fi в кафе, корпоративный прокси, интернет-провайдер — они могут читать каждую страницу, которую вы посещаете, каждую форму, которую вы отправляете, каждый куки, который передается. HTTPS все это шифрует.
Это не теория. Зафиксированы случаи, когда интернет-провайдеры внедряли рекламу и код отслеживания в незашифрованный HTTP-трафик.
Целостность данных
HTTPS гарантирует, что полученные данные не были изменены в пути. Без него злонамеренный сетевой оператор мог бы:
- Внедрять рекламу или криптомайнеры в ваши страницы
- Заменять ссылки для скачивания вредоносным ПО
- Изменять цены или условия на вашем сайте
- Встраивать скрипты отслеживания
HTTPS обнаруживает любую модификацию — браузер отклоняет измененные данные.
Аутентификация
Сертификат доказывает, что вы подключены к настоящему серверу, а не к мошеннику. Без HTTPS вредоносная Wi-Fi-точка (с названием «Бесплатный WiFi аэропорта») может незаметно перенаправить вас на поддельную версию любого сайта. С HTTPS поддельный сайт не может предъявить действительный сертификат для домена — браузер блокирует соединение.
SEO
Google использует HTTPS как сигнал ранжирования с 2014 года. Хотя это слабый сигнал (Google описывает его как «решающий при равных условиях»), его легче всего реализовать. Что важнее, HTTP-страницы вызывают предупреждение Chrome «Не защищено», что увеличивает показатель отказов — а показатель отказов косвенно влияет на ранжирование.
Производительность
Распространенное заблуждение — HTTPS медленнее. На самом деле:
- TLS-рукопожатие добавляет один обмен (TLS 1.3) или два (TLS 1.2) — обычно 10-50 мс
- HTTP/2 (который требует HTTPS) значительно быстрее HTTP/1.1 благодаря мультиплексированию, сжатию заголовков и серверному проталкиванию
- Возобновление сессии устраняет задержку рукопожатия для возвращающихся посетителей (0-RTT в TLS 1.3)
- Современные процессоры обрабатывают AES-шифрование аппаратно (AES-NI) — нагрузка на CPU минимальна
На практике HTTPS-сайты с HTTP/2 загружаются быстрее, чем HTTP/1.1-сайты.
Требования браузеров
Современные браузеры ограничивают мощные API безопасными контекстами (только HTTPS):
- Service Workers — необходимы для PWA, офлайн-поддержки, push-уведомлений
- Geolocation API — доступ к GPS и местоположению
- Камера/Микрофон —
getUserMedia()для видеозвонков - Clipboard API — чтение из буфера обмена
- Payment Request API — нативный интерфейс оплаты
- Web Bluetooth, Web USB — доступ к оборудованию
Если вашему сайту нужна любая из этих функций, HTTPS обязателен, а не опционален.
Распространенные заблуждения
«HTTPS нужен только для страниц входа и платежей.» Каждая страница должна использовать HTTPS. Даже статические блог-посты передают куки, которые могут быть украдены через HTTP. HTTP-страницы могут быть изменены в пути для внедрения вредоносного содержимого. И браузеры теперь предупреждают обо всех HTTP-страницах, а не только о тех, где есть формы.
«HTTPS замедляет мой сайт.» TLS 1.3 добавляет ~10-40 мс при первом подключении. HTTP/2 (требующий HTTPS) более чем компенсирует это мультиплексированием и сжатием. Возобновление сессии делает последующие визиты еще быстрее. На современном оборудовании шифрование обрабатывается процессорными инструкциями (AES-NI) и не добавляет измеримой нагрузки.
«HTTPS-сертификаты дорогие.» Let’s Encrypt выдает сертификаты бесплатно. Более 300 миллионов сайтов их используют — включая крупные компании и государственные сайты. С GetHTTPS вы можете получить сертификат за 5 минут без установки программ.
«Мой хостинг-провайдер занимается HTTPS, мне не нужно в этом разбираться.» Вероятно, это так для простых сайтов. Но если вы когда-нибудь увидите предупреждение «Mixed Content», ошибку сертификата или вам понадобится настроить редирект — понимание HTTPS поможет диагностировать и исправить проблему. А если вы смените хостинг, вам нужно будет знать, как работают сертификаты.
«Значок замка означает, что сайт безопасен.» Замок означает, что соединение зашифровано, а не что сайт заслуживает доверия. Более 90% фишинговых сайтов сейчас используют HTTPS. Замок подтверждает, к кому вы подключены (через сертификат), а не честный ли этот ресурс.
Как включить HTTPS на вашем сайте
-
Получите сертификат — используйте GetHTTPS для получения бесплатного сертификата Let’s Encrypt в браузере. Без установки, без аккаунта.
-
Установите его на сервер — см. наши руководства для Nginx, Apache, cPanel, WordPress, IIS или Docker.
-
Настройте редирект с HTTP на HTTPS — перенаправьте весь трафик на защищенную версию. Руководство по редиректу →
-
Исправьте смешанное содержимое — убедитесь, что все ресурсы (изображения, скрипты, CSS) загружаются через HTTPS. Руководство по смешанному содержимому →
-
Настройте обновление — сертификаты Let’s Encrypt действуют 90 дней. Руководство по обновлению →
Будущее HTTPS
Срок действия сертификатов сокращается. CA/Browser Forum проголосовал за сокращение максимального срока действия сертификатов до 47 дней к 2029 году. Это делает инструменты автоматического обновления (Certbot, acme.sh) или удобные ручные инструменты (GetHTTPS) все более важными.
HTTP/3 и QUIC. Следующее поколение HTTP работает на основе QUIC, в который шифрование встроено на транспортном уровне — незашифрованной версии не существует. HTTPS — это уже не просто слой; он становится неотделимым от самого протокола.
Encrypted Client Hello (ECH). TLS 1.3 шифрует большую часть рукопожатия, но SNI (Server Name Indication) — указывающий, к какому домену вы подключаетесь — все еще виден. ECH зашифрует и SNI, сделав невозможным для сетевых наблюдателей определить, какой конкретно сайт вы посещаете на общем сервере.
Часто задаваемые вопросы
HTTPS действительно безопасен?
HTTPS с современным TLS (1.2 или 1.3) чрезвычайно надежно защищает от подслушивания и подделки. Практических атак на правильно настроенный TLS 1.3 не существует. Оставшиеся риски связаны с конечными точками (вредоносное ПО на вашем устройстве, скомпрометированный сервер), а не с зашифрованным соединением.
Нужен ли HTTPS для статического сайта?
Да. Даже без форм и авторизации HTTPS предотвращает внедрение контента (рекламы, вредоносного ПО), защищает конфиденциальность посетителей (какие страницы они просматривают), обеспечивает HTTP/2 (более быстрая загрузка) и позволяет избежать предупреждения браузера «Не защищено».
Влияет ли HTTPS на SEO?
Да. Google подтвердил HTTPS как сигнал ранжирования в 2014 году. Это слабый сигнал, но в сочетании с предупреждением «Не защищено» (которое увеличивает показатель отказов) HTTP-сайты имеют измеримый недостаток в SEO.
В чем разница между SSL и TLS?
SSL (Secure Sockets Layer) был оригинальным протоколом шифрования, созданным Netscape в 1990-х годах. TLS (Transport Layer Security) заменил его. Все версии SSL устарели и небезопасны. Когда сегодня говорят «SSL-сертификат», имеют в виду сертификат, используемый с TLS. На практике эти термины используются взаимозаменяемо.
Сколько стоит HTTPS?
Ноль — если вы используете Let’s Encrypt. GetHTTPS выдает сертификаты Let’s Encrypt бесплатно, прямо в вашем браузере. Платные сертификаты ($50-500/год) существуют, но обеспечивают такую же стойкость шифрования — разница в уровне проверки личности, а не в безопасности.
HTTPS защищает от всех атак?
Нет. HTTPS защищает данные при передаче — предотвращает подслушивание, подделку и имперсонацию сервера. Он НЕ защищает от: вредоносного ПО на устройстве пользователя, уязвимостей в коде приложения (XSS, SQL-инъекции), фишинга (замок не означает, что сайт честный) или взлома на стороне сервера.