Согласно данным Google Transparency Report, к середине 2024 года более 95% загрузок страниц в Chrome на платформах Windows и Android происходят по HTTPS.
В этой статье разбираем, что это — SSL-сертификат, зачем он нужен, какие есть типы сертификатов безопасности, как их получить и установить, а также распространенные ошибки и их устранение.
Что такое SSL/TLS-сертификаты
SSL — это криптографический протокол, созданный для защиты передачи данных в интернете. Его основная задача — шифрование трафика между браузером пользователя (клиентом) и сервером сайта. Текущая реализация основана не на ССЛ, а на его усовершенствованной версии TLS (Transport Layer Security certificate), однако привычный термин SSL-cert сохранился.
Шифрование в SSL/TLS работает по принципу ключей. Открытый содержится в сертификате и доступен всем, кто подключается к сайту. Закрытый хранится на сервере и никогда не передается наружу. При соединении браузер использует открытый ключ, чтобы зашифровать данные, а сервер расшифровывает их с помощью закрытого.
Таким образом, перехваченный трафик выглядит как набор случайных символов. Даже если злоумышленник получит доступ к потоку данных, расшифровать его без ключа невозможно.
Протокол работает поверх транспортного уровня и защищает любую информацию, будь то логин и пароль, номер карты или форма обратной связи. SSL/TLS не только шифрует передаваемые данные, но и подтверждает подлинность сервера, чтобы пользователь подключался именно к нужному сайту, а не к подменной копии.
Сегодня поддержка TLS обязательна для всех современных браузеров. Старые версии SSL (2.0 и 3.0) признаны небезопасными и официально отключены в большинстве серверных конфигураций. Актуальной считается версия TLS 1.3, утвержденная в 2018 году. Она ускоряет соединение и исключает ряд уязвимостей, характерных для старых схем обмена ключами.
Зачем нужен SSL-сертификат для сайта
- Сертификат делает передачу данных между браузером и сервером безопасной, шифруя данные, исключая возможность чтения или подмены информации третьими лицами. Без HTTPS данные передаются в открытом виде, и любой посредник в сети (например, точка Wi-Fi в кафе) может перехватить логины, пароли или номера карт.
- Центр сертификации (СА) перед выдачей сертификата удостоверяется в том, что заявитель действительно владеет доменом или организацией. Это защищает от фишинговых сайтов, имитирующих известные бренды.
- По данным Google Chrome Security Team, метка «Not secure» снижает число транзакций на сайтах в среднем на 18-25%. Посетители реже оставляют персональные данные, если сайт не защищен HTTPS. Зеленый замок рядом с адресом — не просто деталь, а показатель легальности и ответственности владельца ресурса.
- С 2014 года HTTPS входит в список факторов ранжирования Google. Поисковик учитывает наличие сертификата как сигнал надежности. Страницы без HTTPS чаще получают пониженные позиции, особенно если содержат формы ввода данных.
- PCI DSS — международный стандарт для обработки платежей — требует использования HTTPS при передаче любых финансовых данных. Для интернет-магазинов это обязательное условие при работе с банками и эквайрингом.
Зачем нужен SSL-сертификат для сайтаВ чем заключаются функции TSL- и SSL-сертификатов
SSL 2.0 и 3.0 использовали слабые алгоритмы, которые сегодня легко взломать. Эти версии полностью исключены из браузеров и серверов. Сертификаты TLS 1.2 и 1.3 используют устойчивые методы шифрования, а последняя версия сокращает время соединения с 2 до 1 шага.
Главные отличия:
- Безопасность. TLS поддерживает современные алгоритмы (RSA, ECC, AES, ChaCha20). SSL — уязвим для атак типа POODLE и BEAST.
- Скорость. TLS 1.3 быстрее, потому что не требует повторных обменов ключами.
- Совместимость. SSL не работает с актуальными браузерами и ОС; TLS поддерживается всеми.
Фактически термин «SSL-сертификат» носит исторический характер. Технически все действующие сертификаты используют именно TLS.
Как работает сертификат
Одна из ключевых функций SSL‑сертификата — установление защищенного соединения между браузером и сервером. В ходе этого процесса стороны согласовывают версию протокола и алгоритмы шифрования, а также проверяют подлинность сертификата.
Чтобы разобраться, что такое SSL-сертификат и для чего он нужен, полезно изучить, как он участвует в шифровании данных при взаимодействии браузера и сервера.
Механика обмена ключами
- Клиент отправляет приветствие (ClientHello). Браузер сообщает серверу, какие версии TLS и алгоритмы он поддерживает.
- Сервер отвечает (ServerHello). Он выбирает подходящую версию и отправляет свой SSL-сертификат с открытым ключом.
- Проверка подлинности. Браузер сверяет сертификат с корневым CA и убеждается, что домен совпадает.
- Создание сеансового ключа. Клиент генерирует случайный набор символов, шифрует его открытым ключом сервера и отправляет обратно. На основе этого кода обе стороны создают общий симметричный ключ.
Проверка целостности и подпись
После обмена ключами сервер и клиент отправляют контрольные сообщения с цифровой подписью. Если подпись проходит проверку, соединение считается доверенным и начинается шифрованный обмен данными.
Виды SSL-сертификатов безопасности
Разбираясь в том, что такое SSL-сертификат для сайта, важно понимать их различия по уровню проверки владельца и количеству защищаемых доменов.
Самая простая модель. CA проверяет только владение доменом — по письму, DNS-записи или файлу на сервере. Выпускается за несколько минут. Подходит для блогов, лендингов, корпоративных визиток. В строке браузера виден только замок без названия компании.
Дополнительно проверяются регистрационные данные компании: ЮЛ, адрес, телефон. Они частично отображаются в сертификате. Используется на сайтах компаний, где есть формы заказов и личные кабинеты.
Проверяется юридический статус, документы, права владения брендом. Раньше браузеры показывали зеленую строку с названием компании, сейчас — подробные данные в сертификате. EV применяют банки, платежные системы и крупные онлайн-сервисы.
Wildcard защищает основной домен и все его поддомены (например, *.example.com). SAN (Subject Alternative Name) позволяет включать несколько разных доменов в один сертификат. Удобен для групп сайтов одной компании.
После выбора подходящего варианта остается узнать, как подключить SSL-сертификат к сайту, чтобы защита заработала по максимуму.
Как получить SSL-сертификат для сайта: пошаговая инструкция
Шаг 1. Убедитесь, что у вас есть доступ к серверу или панели управления хостингом. Проверьте, что сервер поддерживает TLS/SSL. Прежде чем переходить к следующему этапу, следует проанализировать, для чего нужен SSL-сертификат сайту.
Шаг 2. Сгенерируйте CSR (Certificate Signing Request), указав:
- доменное имя;
- данные компании (для OV и EV);
- публичный ключ, соответствующий приватному.
Шаг 3. Выберите тип сертификата
- DV — для быстрого подтверждения домена;
- OV — для сайтов компаний;
- EV — для сайтов с расширенной проверкой;
- Wildcard — если нужно защитить поддомены;
- SAN — если требуется несколько доменов.
Шаг 4. Подтвердите владение доменом одним из методов:
- DNS-запись: создайте специальную TXT-запись на DNS-сервере.
- HTTP-файл: загрузите проверочный файл на сервер в папку /.well-known/pki-validation/.
- E-mail: подтвердите владение через письмо на зарегистрированный в WHOIS адрес.
Шаг 5. Отправьте CSR в CA.
Шаг 6. Получите и установите сертификат.
Шаг 7. Проверьте корректность установки через браузер или онлайн-сканеры (SSL Labs, Geekflare).
Как получить SSL-сертификат для сайта: пошаговая инструкцияКак получить SSL-сертификат бесплатно
Let’s Encrypt
- DV-сертификат с автопродлением каждые 90 дней.
- Поддерживается большинством панелей управления и серверных платформ.
ZeroSSL
- Действие до 90 дней, возможность продления и интеграции с панелями.
- Поддерживает DV и SAN, подходит для нескольких доменов.
Cloudflare
- SSL включается на уровне CDN, сертификат шифрует трафик между пользователем и сервером Cloudflare.
- Не нуждается в установке на сервер.
Self-signed (самоподписанные)
- Генерируются вручную без CA.
- Подходят только для тестирования или внутренних сетей, браузеры будут предупреждать о ненадежности.
Бесплатные варианты подходят для блогов, информационных порталов, небольших проектов. Для коммерческих ресурсов с формами оплаты предпочтительно использовать OV или EV сертификаты.
Как получить SSL-сертификат бесплатноУстановка, проверка и обслуживание сертификата
SSL-сертификат начинает защищать сайт только после корректной установки и настройки. Даже если используется бесплатное решение вроде Let’s Encrypt, важно знать, как установить SSL-сертификат на сайт. Ошибки на этом этапе приводят к предупреждениям браузеров, неработающим формам и потере доверия пользователей. Регулярная проверка и обслуживание поддерживают сертификат в актуальном состоянии и исключают простои.
Как установить сертификат на популярные панели:
- cPanel: через «SSL/TLS» — «Установить сертификат», загружаются CRT, ключ и CA bundle.
- ISPmanager: через «Безопасность» — «SSL-сертификаты» — «Добавить новый», поддерживаются автоматические обновления Let’s Encrypt.
- nginx: в этой конфигурации сертификат добавляют через директивы ssl_certificate и ssl_certificate_key. Если вы не знаете, как добавить сертификат, используйте автоматические утилиты.
Читайте такжеКак продвинуть сайт в GoogleКак проверить в браузере и через онлайн-сканеры
В браузере рядом с адресной строкой отображается замок, щелкнув по которому можно увидеть основные данные.
Онлайн-сканеры SSL Labs, Geekflare, whynopadlock.com − проверяют цепочку сертификатов, корректность шифрования и совместимость с браузерами.
Переход на HTTPS: редиректы и SEO-проверки
SSL-сертификат начинает работать после настройки HTTPS во всех адресах и ссылках. Чтобы пользователи и поисковики корректно воспринимали новый протокол, нужно выполнить ряд действий.
- Настройте постоянный редирект (301). Все запросы с HTTP должны автоматически переходить на HTTPS. Так пользователи всегда попадают на защищенную версию сайта, а поисковики передают позиции без потери трафика.
- Проверьте внутренние ссылки и ресурсы. Изображения, скрипты, стили и iframe должны загружаться через HTTPS. Если на странице остаются HTTP-ресурсы, браузер выдает предупреждение «mixed content».
- Обновите служебные файлы. В файлах sitemap.xml и robots.txt укажите новые HTTPS-адреса. Это ускорит переиндексацию сайта.
- Проверьте сайт в поисковых сервисах. Добавьте версию с HTTPS в Google Search Console и Яндекс Вебмастер. Проверьте индексацию, редиректы и наличие ошибок при сканировании.
- Включите HSTS (HTTP Strict Transport Security). Эта настройка сообщает браузеру, что сайт всегда должен открываться только по HTTPS. Она повышает уровень защиты и исключает случайные подключения по незащищенному протоколу.
- Проверьте результат. Откройте несколько страниц, протестируйте редиректы и убедитесь, что все адреса работают только через HTTPS. После этого можно отправлять обновленный сайт на переиндексацию.
Переход на HTTPS: редиректы и SEO-проверкиЧастые ошибки и способы исправления
| Ошибка | Как выражается | Как устранить |
| Сертификат просрочен | Браузеры показывают предупреждение, пользователи покидают сайт | Обновить сертификат через CA, настроить автоматическое продление |
| «Mixed content» (HTTP-ресурсы на HTTPS-странице) | Замок не отображается, браузеры блокируют контент | Исправить все ссылки на HTTPS, обновить скрипты и стили |
| Неправильная цепочка сертификатов | Браузер не доверяет сертификату, отображается ошибка | Установить промежуточные сертификаты CA вместе с основным |
| Несовпадение домена | Браузер выдает предупреждение «Your connection is not private» | Проверить CN/SAN сертификата и корректность адреса сайта |
| Нет редиректа с HTTP | Дублирование контента, падение SEO | Настроить 301 редирект со всех HTTP-страниц на HTTPS |
| Использование старого протокола (SSL 3.0, TLS 1.0) | Уязвимости, отказ современных браузеров | Включить TLS 1.2 или TLS 1.3 на сервере |
| Самоподписанный сертификат | Браузеры показывают предупреждения, низкое доверие | Использовать сертификат от доверенного CA |
FAQ