Что такое SSL-сертификат и при чём тут замочек в браузере
SSL (Secure Sockets Layer) — это протокол шифрования данных между браузером пользователя и сервером, на котором живёт ваш сайт. Технически сейчас используется его наследник — TLS (Transport Layer Security), но по привычке все продолжают говорить «SSL». Суть от этого не меняется.
Когда на сайте установлен SSL-сертификат, адрес начинается с `https://`, а рядом с ним в адресной строке появляется иконка замка. Это значит, что данные, которые пользователь вводит на сайте — логин, пароль, номер телефона, данные банковской карты — шифруются и не могут быть перехвачены «по дороге».
Если сертификата нет, браузер честно предупреждает: «Не защищено» или «Not Secure». Chrome, Яндекс.Браузер, Firefox — все ведут себя одинаково. И пользователь видит это предупреждение ещё до того, как страница загрузилась.
Зачем бизнесу SSL: четыре причины, которые важно знать
Доверие посетителей
Вот реальная ситуация из практики. У клиента был небольшой интернет-магазин детской одежды. Сайт работал, заказы приходили, но конверсия на странице оформления заказа была подозрительно низкой — около 0,8%. После установки SSL и настройки редиректа на HTTPS за следующий месяц конверсия выросла до 1,4%. Почти в два раза. Люди просто не хотели вводить данные карты на сайте с пометкой «Не защищено».
Позиции в поисковых системах
Google ещё в 2014 году объявил, что HTTPS — это сигнал ранжирования. С тех пор значимость этого фактора только растёт. Яндекс тоже учитывает наличие защищённого соединения. В условиях высокой конкуренции в выдаче наличие SSL — это не преимущество, а необходимый минимум. Без него вы просто отдаёте позиции конкурентам.
Требования платёжных систем
Если на сайте есть приём платежей — SSL обязателен. Это требование стандарта PCI DSS (Payment Card Industry Data Security Standard), который регулирует безопасность обработки данных банковских карт. Ни один платёжный агрегатор — ЮKassa, CloudPayments, Тинькофф — не подключит эквайринг к сайту без HTTPS.
Защита данных пользователей
Это не абстрактная угроза. Без шифрования данные передаются в открытом виде. Любой, кто находится в той же Wi-Fi сети — в кафе, аэропорту, коворкинге — технически может перехватить эти данные. В 2026 году, когда утечки персональных данных происходят регулярно, репутационные риски для бизнеса слишком высоки, чтобы экономить на сертификате.
Какие бывают SSL-сертификаты
Здесь часто возникает путаница, поэтому объясним на пальцах.
DV (Domain Validation) — самый простой тип. Подтверждает только то, что вы владеете доменом. Выпускается за минуты, иногда — автоматически. Подходит для блогов, небольших сайтов, лендингов. Let's Encrypt выдаёт именно такие, и они полностью бесплатные.
OV (Organization Validation) — подтверждает не только домен, но и существование организации. Удостоверяющий центр проверяет данные компании. Выпуск занимает от одного до нескольких дней. Подходит для корпоративных сайтов и сервисов, где важно показать, что за сайтом стоит реальная компания.
EV (Extended Validation) — максимальный уровень проверки. Компания проходит тщательную верификацию. Раньше такие сертификаты выделялись зелёной адресной строкой в браузере, но с 2019 года большинство браузеров убрали визуальное отличие. Тем не менее EV остаётся актуальным для банков, страховых компаний, крупных маркетплейсов — везде, где критично максимальное доверие.
Ещё есть Wildcard-сертификаты — они покрывают основной домен и все поддомены (`*.example.com`). Удобно, если у вас есть `shop.example.com`, `blog.example.com` и так далее. И мультидоменные (SAN/UCC) — один сертификат на несколько разных доменов.
Бесплатный SSL от Let's Encrypt: когда его достаточно
Для большинства задач бесплатного DV-сертификата хватает с запасом. Браузеры ему доверяют точно так же, как платному. Замочек выглядит одинаково. Уровень шифрования — тот же.
Let's Encrypt выдаёт сертификаты сроком на 90 дней, но на практике это не проблема. Certbot или аналогичный клиент настраивается один раз и дальше продлевает сертификат автоматически. На большинстве хостингов — Reg.ru, Beget, TimeWeb — есть встроенная поддержка, и SSL подключается в пару кликов из панели управления.
Когда бесплатного сертификата недостаточно:
- Вам нужен OV или EV уровень — Let's Encrypt выдаёт только DV
- У вас специфические требования к совместимости (хотя таких кейсов всё меньше)
- Вам нужна финансовая гарантия от удостоверяющего центра — у платных сертификатов бывает страховка на случай взлома
Но для 90% сайтов малого и среднего бизнеса Let's Encrypt — это то, что нужно.
Как установить SSL-сертификат: обычный порядок действий
Расскажем, как это обычно происходит на практике. Не пошаговая инструкция из документации, а реальный процесс на клиентских проектах.
Если сайт на shared-хостинге
Большинство современных хостингов — Beget, TimeWeb, Reg.ru, Sweb — предлагают автоматическую установку Let's Encrypt прямо в панели управления. Заходите в раздел SSL, выбираете домен, нажимаете «Установить бесплатный сертификат». Через пару минут всё работает. Автопродление обычно включено по умолчанию.
Если сайт на VPS или выделенном сервере
Здесь чуть больше ручной работы, но ничего сложного. Обычно используется Certbot:
sudo apt update
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d example.com -d www.example.comCertbot сам найдёт конфигурацию Nginx, получит сертификат и пропишет нужные директивы. Для Apache — аналогично, только пакет `python3-certbot-apache`.
После установки проверяем, что автопродление работает:
sudo certbot renew --dry-runНастройка редиректа с HTTP на HTTPS
Это важный шаг, который многие пропускают. После установки сертификата сайт должен работать только по HTTPS. Все запросы на HTTP нужно перенаправить. В Nginx это выглядит так:
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$host$request_uri;
}Исправление mixed content
После перехода на HTTPS часто всплывает проблема: страница загружается по HTTPS, но часть ресурсов — картинки, скрипты, шрифты — тянется по старому HTTP. Браузер такие ресурсы блокирует или показывает предупреждение. Замочек в адресной строке при этом пропадает.
Что нужно сделать:
- Открыть консоль разработчика в браузере (F12 → Console) и посмотреть, какие ресурсы загружаются по HTTP
- Исправить ссылки в коде сайта — поменять `http://` на `https://` или на протокол-относительные `//`
- Если сайт на CMS — обновить URL сайта в настройках (в WordPress, например, это «Адрес WordPress» и «Адрес сайта» в разделе «Общие настройки»)
- Проверить базу данных — иногда старые HTTP-ссылки зашиты прямо в контенте
Проверка после установки
Всегда стоит проверять результат через онлайн-сервис — например, SSL Labs (ssllabs.com/ssltest). Он показывает оценку от A до F, проверяет корректность цепочки сертификатов, используемые протоколы и шифры. Норма — оценка A или A+.
Частые ошибки, которые встречаются на сайтах
Сертификат установлен, но редирект не настроен. Сайт доступен и по HTTP, и по HTTPS. Поисковики видят два дубля каждой страницы. Это плохо для SEO.
Истёк срок действия. Если автопродление не настроено или сломалось — сертификат протухает, и пользователи видят страшное красное предупреждение. Это хуже, чем вообще не иметь SSL, потому что выглядит как взлом. Рекомендуется ставить себе напоминание в календарь даже при автопродлении — просто чтобы раз в квартал зайти и убедиться, что всё в порядке.
Неправильная цепочка сертификатов. Иногда при ручной установке забывают добавить промежуточный сертификат. Сайт работает в одних браузерах и не работает в других. Особенно часто страдают мобильные устройства.
Mixed content после переезда. После перехода на HTTPS нужно тщательно проверить все ресурсы на страницах.
SSL и российское законодательство
С 2017 года в России действует 152-ФЗ «О персональных данных». Если ваш сайт собирает любые персональные данные — имя, email, телефон — вы обязаны обеспечить их защиту. SSL-сертификат — один из технических способов выполнить это требование. Не единственный, но базовый.
Кроме того, с 2022 года НУЦ Минцифры (Национальный удостоверяющий центр) выпускает российские TLS-сертификаты. Они поддерживаются Яндекс.Браузером и браузером Атом. Если ваш бизнес работает преимущественно с российской аудиторией и есть риск отзыва западных сертификатов — стоит иметь в виду этот вариант как запасной. Хотя на март 2026 года для большинства сайтов Let's Encrypt и международные удостоверяющие центры по-прежнему работают без проблем.
Сколько стоит SSL в 2026 году
Если коротко: от нуля рублей до нескольких десятков тысяч в год. Разброс большой, потому что зависит от типа сертификата.
Let's Encrypt — бесплатно. Совсем. Навсегда.
DV-сертификаты от коммерческих центров (Sectigo, DigiCert, GlobalSign) — от 1 000 до 5 000 рублей в год. Разницы с бесплатным в плане шифрования нет, но некоторые клиенты хотят «чтобы был от известного бренда».
OV-сертификаты — от 5 000 до 15 000 рублей в год. Тут уже платите за проверку организации.
EV-сертификаты — от 10 000 до 50 000 рублей в год. Максимальная проверка, финансовые гарантии.
Wildcard добавляет к стоимости 30–50%, мультидоменный — зависит от количества доменов.
Не стоит переплачивать. Для абсолютного большинства бизнес-сайтов, лендингов и даже интернет-магазинов Let's Encrypt — оптимальный выбор. Деньги лучше потратить на качественную разработку и контент.
Что делать прямо сейчас
Если у вашего сайта до сих пор нет SSL — это нужно исправить. Не завтра, не на следующей неделе, а сейчас. В 2026 году работать по HTTP — это как вести бизнес в помещении без двери. Технически возможно, но доверия не вызывает.
Зайдите на свой сайт и посмотрите на адресную строку. Если видите замочек и `https://` — хорошо, проверьте оценку на SSL Labs. Если видите «Не защищено» — свяжитесь с вашим хостингом или разработчиком. В большинстве случаев установка занимает от пяти минут до пары часов.