Все статьи о SSL SSL и сертификаты

Что такое HTTPS? Полное руководство

HTTPS (Hypertext Transfer Protocol Secure) — это зашифрованная версия HTTP, протокола, который браузеры используют для связи с сайтами. Когда сайт использует HTTPS, все данные между вашим браузером и сервером шифруются, что не позволяет никому посередине их прочитать или изменить.

Вы можете определить, что сайт использует HTTPS, по префиксу https:// в URL и значку замка в адресной строке браузера. По состоянию на 2026 год 86,9% сайтов используют HTTPS, и браузеры отмечают все HTTP-сайты как «Не защищено».

Как работает HTTPS

HTTPS добавляет шифрование TLS (Transport Layer Security) поверх обычного HTTP. Когда вы посещаете HTTPS-сайт, за миллисекунды происходит TLS-рукопожатие:

  1. Браузер подключается — отправляет серверу поддерживаемые версии TLS, наборы шифров и случайное число
  2. Сервер отвечает — отправляет выбранный набор шифров, свой SSL/TLS-сертификат (содержащий открытый ключ) и случайное число
  3. Браузер проверяет — не истек ли сертификат, совпадает ли домен, подписан ли он доверенным удостоверяющим центром
  4. Согласование сессионного ключа — обе стороны используют асимметричное шифрование (обмен ключами Diffie-Hellman) для выработки общего секретного сессионного ключа
  5. Начало зашифрованного обмена — все последующие данные шифруются симметричным сессионным ключом

После рукопожатия все зашифровано: HTML, изображения, CSS, JavaScript, отправки форм, куки, ответы API и URL-пути.

Подробнее: как работает SSL/TLS →

HTTP и HTTPS

HTTPHTTPS
ШифрованиеНет — данные передаются открытым текстомВсе данные зашифрованы TLS
Порт по умолчанию80443
Префикс URLhttp://https://
Требуется сертификатНетДа (SSL/TLS-сертификат)
Индикатор браузераПредупреждение «Не защищено»Значок замка
Целостность данныхНет — данные могут быть изменены в путиДа — подделка обнаруживается
АутентификацияНет — нет доказательства подлинности сервераСертификат подтверждает подлинность сервера
Сигнал SEOОтрицательный (с 2014 года)Положительный (фактор ранжирования Google)
Поддержка HTTP/2Нет (на практике)Да — более быстрая загрузка страниц
Требуется дляНичего современногоService Workers, геолокации, камеры/микрофона, платежных форм

Разница не только в безопасности — HTTPS открывает доступ к современным веб-возможностям, которые HTTP не может использовать. Браузеры ограничивают Service Workers, Geolocation API, Clipboard API и другие мощные API только HTTPS-источниками.

Почему каждому сайту нужен HTTPS

Конфиденциальность

Без HTTPS любой в той же сети может видеть все, что вы делаете. Оператор Wi-Fi в кафе, корпоративный прокси, интернет-провайдер — они могут читать каждую страницу, которую вы посещаете, каждую форму, которую вы отправляете, каждый куки, который передается. HTTPS все это шифрует.

Это не теория. Зафиксированы случаи, когда интернет-провайдеры внедряли рекламу и код отслеживания в незашифрованный HTTP-трафик.

Целостность данных

HTTPS гарантирует, что полученные данные не были изменены в пути. Без него злонамеренный сетевой оператор мог бы:

  • Внедрять рекламу или криптомайнеры в ваши страницы
  • Заменять ссылки для скачивания вредоносным ПО
  • Изменять цены или условия на вашем сайте
  • Встраивать скрипты отслеживания

HTTPS обнаруживает любую модификацию — браузер отклоняет измененные данные.

Аутентификация

Сертификат доказывает, что вы подключены к настоящему серверу, а не к мошеннику. Без HTTPS вредоносная Wi-Fi-точка (с названием «Бесплатный WiFi аэропорта») может незаметно перенаправить вас на поддельную версию любого сайта. С HTTPS поддельный сайт не может предъявить действительный сертификат для домена — браузер блокирует соединение.

SEO

Google использует HTTPS как сигнал ранжирования с 2014 года. Хотя это слабый сигнал (Google описывает его как «решающий при равных условиях»), его легче всего реализовать. Что важнее, HTTP-страницы вызывают предупреждение Chrome «Не защищено», что увеличивает показатель отказов — а показатель отказов косвенно влияет на ранжирование.

Производительность

Распространенное заблуждение — HTTPS медленнее. На самом деле:

  • TLS-рукопожатие добавляет один обмен (TLS 1.3) или два (TLS 1.2) — обычно 10-50 мс
  • HTTP/2 (который требует HTTPS) значительно быстрее HTTP/1.1 благодаря мультиплексированию, сжатию заголовков и серверному проталкиванию
  • Возобновление сессии устраняет задержку рукопожатия для возвращающихся посетителей (0-RTT в TLS 1.3)
  • Современные процессоры обрабатывают AES-шифрование аппаратно (AES-NI) — нагрузка на CPU минимальна

На практике HTTPS-сайты с HTTP/2 загружаются быстрее, чем HTTP/1.1-сайты.

Требования браузеров

Современные браузеры ограничивают мощные API безопасными контекстами (только HTTPS):

  • Service Workers — необходимы для PWA, офлайн-поддержки, push-уведомлений
  • Geolocation API — доступ к GPS и местоположению
  • Камера/МикрофонgetUserMedia() для видеозвонков
  • Clipboard API — чтение из буфера обмена
  • Payment Request API — нативный интерфейс оплаты
  • Web Bluetooth, Web USB — доступ к оборудованию

Если вашему сайту нужна любая из этих функций, HTTPS обязателен, а не опционален.

Распространенные заблуждения

«HTTPS нужен только для страниц входа и платежей.» Каждая страница должна использовать HTTPS. Даже статические блог-посты передают куки, которые могут быть украдены через HTTP. HTTP-страницы могут быть изменены в пути для внедрения вредоносного содержимого. И браузеры теперь предупреждают обо всех HTTP-страницах, а не только о тех, где есть формы.

«HTTPS замедляет мой сайт.» TLS 1.3 добавляет ~10-40 мс при первом подключении. HTTP/2 (требующий HTTPS) более чем компенсирует это мультиплексированием и сжатием. Возобновление сессии делает последующие визиты еще быстрее. На современном оборудовании шифрование обрабатывается процессорными инструкциями (AES-NI) и не добавляет измеримой нагрузки.

«HTTPS-сертификаты дорогие.» Let’s Encrypt выдает сертификаты бесплатно. Более 300 миллионов сайтов их используют — включая крупные компании и государственные сайты. С GetHTTPS вы можете получить сертификат за 5 минут без установки программ.

«Мой хостинг-провайдер занимается HTTPS, мне не нужно в этом разбираться.» Вероятно, это так для простых сайтов. Но если вы когда-нибудь увидите предупреждение «Mixed Content», ошибку сертификата или вам понадобится настроить редирект — понимание HTTPS поможет диагностировать и исправить проблему. А если вы смените хостинг, вам нужно будет знать, как работают сертификаты.

«Значок замка означает, что сайт безопасен.» Замок означает, что соединение зашифровано, а не что сайт заслуживает доверия. Более 90% фишинговых сайтов сейчас используют HTTPS. Замок подтверждает, к кому вы подключены (через сертификат), а не честный ли этот ресурс.

Как включить HTTPS на вашем сайте

  1. Получите сертификат — используйте GetHTTPS для получения бесплатного сертификата Let’s Encrypt в браузере. Без установки, без аккаунта.

  2. Установите его на сервер — см. наши руководства для Nginx, Apache, cPanel, WordPress, IIS или Docker.

  3. Настройте редирект с HTTP на HTTPS — перенаправьте весь трафик на защищенную версию. Руководство по редиректу →

  4. Исправьте смешанное содержимое — убедитесь, что все ресурсы (изображения, скрипты, CSS) загружаются через HTTPS. Руководство по смешанному содержимому →

  5. Настройте обновление — сертификаты Let’s Encrypt действуют 90 дней. Руководство по обновлению →

Будущее HTTPS

Срок действия сертификатов сокращается. CA/Browser Forum проголосовал за сокращение максимального срока действия сертификатов до 47 дней к 2029 году. Это делает инструменты автоматического обновления (Certbot, acme.sh) или удобные ручные инструменты (GetHTTPS) все более важными.

HTTP/3 и QUIC. Следующее поколение HTTP работает на основе QUIC, в который шифрование встроено на транспортном уровне — незашифрованной версии не существует. HTTPS — это уже не просто слой; он становится неотделимым от самого протокола.

Encrypted Client Hello (ECH). TLS 1.3 шифрует большую часть рукопожатия, но SNI (Server Name Indication) — указывающий, к какому домену вы подключаетесь — все еще виден. ECH зашифрует и SNI, сделав невозможным для сетевых наблюдателей определить, какой конкретно сайт вы посещаете на общем сервере.

Часто задаваемые вопросы

HTTPS действительно безопасен?

HTTPS с современным TLS (1.2 или 1.3) чрезвычайно надежно защищает от подслушивания и подделки. Практических атак на правильно настроенный TLS 1.3 не существует. Оставшиеся риски связаны с конечными точками (вредоносное ПО на вашем устройстве, скомпрометированный сервер), а не с зашифрованным соединением.

Нужен ли HTTPS для статического сайта?

Да. Даже без форм и авторизации HTTPS предотвращает внедрение контента (рекламы, вредоносного ПО), защищает конфиденциальность посетителей (какие страницы они просматривают), обеспечивает HTTP/2 (более быстрая загрузка) и позволяет избежать предупреждения браузера «Не защищено».

Влияет ли HTTPS на SEO?

Да. Google подтвердил HTTPS как сигнал ранжирования в 2014 году. Это слабый сигнал, но в сочетании с предупреждением «Не защищено» (которое увеличивает показатель отказов) HTTP-сайты имеют измеримый недостаток в SEO.

В чем разница между SSL и TLS?

SSL (Secure Sockets Layer) был оригинальным протоколом шифрования, созданным Netscape в 1990-х годах. TLS (Transport Layer Security) заменил его. Все версии SSL устарели и небезопасны. Когда сегодня говорят «SSL-сертификат», имеют в виду сертификат, используемый с TLS. На практике эти термины используются взаимозаменяемо.

Сколько стоит HTTPS?

Ноль — если вы используете Let’s Encrypt. GetHTTPS выдает сертификаты Let’s Encrypt бесплатно, прямо в вашем браузере. Платные сертификаты ($50-500/год) существуют, но обеспечивают такую же стойкость шифрования — разница в уровне проверки личности, а не в безопасности.

HTTPS защищает от всех атак?

Нет. HTTPS защищает данные при передаче — предотвращает подслушивание, подделку и имперсонацию сервера. Он НЕ защищает от: вредоносного ПО на устройстве пользователя, уязвимостей в коде приложения (XSS, SQL-инъекции), фишинга (замок не означает, что сайт честный) или взлома на стороне сервера.

Похожие статьи

SSL и сертификаты 2026-05-08
SSL и TLS: в чем разница?
SSL устарел. TLS — это то, что на самом деле защищает интернет. Узнайте полную историю от SSL 2.0 до TLS 1.3, технические различия, почему мы до сих пор говорим «SSL» и что вам нужно сделать (вероятно, ничего).
SSL и сертификаты 2026-05-07
Как работает SSL/TLS: TLS-рукопожатие в деталях
Наглядное объяснение TLS-рукопожатия -- как ваш браузер и сервер устанавливают зашифрованное соединение за миллисекунды. Охватывает TLS 1.2, TLS 1.3, возобновление сеанса и прямую секретность.
Начало работы 2026-05-08
Как получить бесплатный SSL-сертификат (пошаговое руководство)
Получите бесплатный SSL-сертификат от Let's Encrypt за 5 минут --- без установки программ, без создания аккаунта. Полное руководство: 4 метода, оба типа проверки, установка на 6 платформах и устранение неполадок.
Сравнение 2026-05-08
Лучшие бесплатные SSL-провайдеры в 2026 году (сравнение)
Сравнение 9 бесплатных SSL-провайдеров по конфиденциальности, лимитам, поддержке wildcard и автоматизации. Включает самостоятельные удостоверяющие центры, хостинг-провайдеров и CDN — с анализом конфиденциальности, которого нет ни в одном другом сравнении.
Получите бесплатный SSL-сертификат в браузере
Без установки, без аккаунта. Ваш приватный ключ никогда не покидает устройство.
Получить сертификат