Что такое SSL-сертификат в 2026: HTTPS, TLS 1.3 и доверие пользователей

SSL/TLS-сертификат — это цифровой файл, который переводит сайт на защищённое соединение HTTPS, шифрует трафик между браузером и сервером и убирает из адресной строки пометку «Не защищено». Для большинства сайтов достаточно бесплатного сертификата от Let's Encrypt, а HTTPS остаётся подтверждённым сигналом ранжирования Google.

Сделать хороший сайт непросто, продающий — и того сложнее. Нужно думать над позиционированием, писать статьи, подбирать иллюстрации. Это крупные задачи. Но есть в работе над сайтом мелочи, которые кажутся формальностью. Забудет о них владелец сайта — а потом это выходит боком.

Одна из таких «мелочей» — SSL-сертификат. SSL нужен для перевода сайта на защищённое соединение (HTTPS), а оно снижает риск самых разных видов мошенничества в сети. Именно поэтому почти весь интернет уже работает по HTTPS.

По данным Google, более 95 из 100 сайтов работают по HTTPS, и доля HTTPS-трафика в браузере Chrome давно превышает 95%. Если же сайт работает по незащищённому соединению, браузеры помечают его как небезопасный, а при сборе данных — блокируют доступ. Поисковики тоже относятся к таким ресурсам хуже.

Ищешь трафик на свой сайт? SEOquick привлечет тебе 100% органику!

SEO – ваш долгосрочный и надежный источник трафика из поисковых систем Google и Bing.

Сделаем комплексное SEO-продвижение: контент, репутация, внутренняя оптимизация, линкбилдинг.

Наше SEO – белое, наши цели – ваш выход в ТОП! Мы знаем точно: что и как. Вам же именно это надо?

Забронируй звонок

Коротко, SSL-сертификат:

• обеспечивает защищённое соединение и убирает предупреждения браузеров;
• добавляет сайту веса при ранжировании и влияет на рост трафика из поиска;
• вызывает доверие посетителей и снижает количество отказов и брошенных корзин.

Но SSL-сертификаты бывают разными. Ниже разбираем, как выбрать и получить тот, что поможет продвижению сайта, а также что изменилось в 2026 году.

Что такое SSL и зачем он нужен

SSL-сертификат позволяет зашифровать передаваемые данные и сделать их нечитаемыми для злоумышленников. Поэтому сайтам с сертификатами пользователи доверяют больше, а поисковики относятся к ним лучше. Если вы планируете разработку нового сайта, HTTPS должен быть включён с самого старта.

Разница между HTTP и HTTPS

Возможно, вы замечали, что адреса одних сайтов начинаются с HTTP, а других — с HTTPS.

HTTP и HTTPS — это протоколы передачи данных. Они нужны, чтобы передавать информацию от одного компьютера к другому через интернет. Буква «S» в названии означает безопасность (от англ. secure). Протокол HTTPS считается безопасным, потому что в нём используется шифрование, которое скрывает содержание сообщения от посторонних.

Признание в любви, переданное по HTTP, выглядит так: «Я тебя люблю». Оно же по HTTPS выглядит как абракадабра: «j5K82O;ws92/*%ks». Чтобы зашифровать сообщение, нужны криптографические ключи — они и содержатся в SSL-сертификатах. Таким образом, чтобы сайт начал работать по HTTPS, на него нужно установить SSL/TLS-сертификат.

SSL и TLS: в чём разница

Secure Sockets Layer (SSL) и Transport Layer Security (TLS) — это протоколы, которые обеспечивают безопасное соединение поверх компьютерных сетей. TLS основан на SSL и был разработан в ответ на уязвимости старых версий SSL. Сам протокол SSL давно устарел и отключён в браузерах, но термин «SSL» по привычке используется чаще и сегодня обычно означает именно TLS.

Актуальная версия — TLS 1.3, выпущенная в 2018 году и ставшая стандартом по умолчанию. Она быстрее (меньше «рукопожатий» при установке соединения), безопаснее и поддерживается большинством современных браузеров. Лучшая практика 2026 года — включить TLS 1.3 и TLS 1.2 как запасной вариант, а устаревшие TLS 1.0 и 1.1 полностью отключить.

SSL/TLS обеспечивает три вещи: шифрование данных, их целостность и аутентификацию. Это значит, что когда соединение защищено, вы можете быть уверены:

• никто не прочитает ваши сообщения;
• никто не изменит ваши сообщения по дороге;
• вы общаетесь именно с тем сервером, с которым собирались.

Как работают ключи шифрования

В шифровании SSL/TLS используются два ключа — публичный и приватный. Они разные, но математически связаны. Если сообщение зашифровано публичным ключом, расшифровать его этим же ключом нельзя — понадобится приватный.

Ключи хранятся на том же сервере, что и сайт. Публичный ключ доступен всем: браузер получает его при обращении к сайту и шифрует им всю информацию, которую отправляет. Сайт расшифровывает её приватным ключом, и наоборот. Если злоумышленник перехватит передаваемые данные, расшифровать их он не сможет — ключей у него нет.

Вопрос доверия и удостоверяющие центры

С ключами есть сложность: злоумышленник может подсунуть браузеру свой ключ и узнать передаваемые секреты. Поэтому браузеры доверяют не всем ключам, а только подписанным специальными организациями — удостоверяющими центрами (УЦ, или центрами сертификации, CA).

УЦ можно сравнить с паспортным столом: тот проверяет связь между фотографией и человеком, а удостоверяющий центр — между открытым ключом и сайтом. Когда браузер получает проверенный УЦ сертификат, он «спокоен»: данные будут в сохранности. Типичное соединение выглядит так:

1. Браузер соединяется с сервером по HTTPS.
2. Сервер передаёт свой публичный ключ и сертификат.
3. Браузер проверяет подпись сертификата по списку доверенных УЦ.
4. Стороны согласуют сессионный ключ.
5. Дальнейший обмен данными шифруется этим ключом.

Почему HTTPS важен для пользователей и SEO

Крупнейшие интернет-компании давно призывают всех переходить на HTTPS. Инициатором выступает Google — её манифест так и называется: Why HTTPS Matters. Отсюда два практических основания перейти на защищённое соединение.

Доверие пользователей. Если SSL не установлен, а сайт собирает чувствительные данные, браузер выводит предупреждение или блокирует доступ.

Пользователи уходят, увидев такие уведомления. Так отсутствие SSL снижает посещаемость и заработок с сайта.

Преимущество в SEO. Google официально считает HTTPS сигналом ранжирования с 2014 года. Это, разумеется, лишь один из сотен факторов, но при прочих равных защищённый сайт получает преимущество. Дополнительный нюанс 2026 года: AI-краулеры (GPTBot, PerplexityBot, ClaudeBot и другие) тоже предпочитают HTTPS-страницы и относятся к обычному HTTP как к менее доверенному источнику. Полную картину факторов смотрите в материале о поисковом продвижении сайта.

Когда SSL-сертификат особенно необходим

Формально HTTPS нужен сегодня любому сайту, но есть ситуации, где без него совсем нельзя:

• Сайт принимает оплату или данные карт. Информация о платежах должна быть защищена — иначе её можно перехватить и использовать для кражи денег.
• Есть формы входа (логин/пароль). Большинство людей используют одинаковые пароли на разных сайтах, поэтому утечка пароля с вашего ресурса может открыть доступ и к другим аккаунтам пользователя.
• Любые формы сбора контактов. Люди не оставят телефон или e-mail рядом с пометкой «Не защищено».
• Вы хотите удержать посетителей. Chrome помечает все HTTP-сайты как небезопасные, и значительная часть пользователей уходит, не дожидаясь загрузки.

Виды SSL: какой выбрать

Цифровые сертификаты бывают разными, но все они обеспечивают одинаково надёжное шифрование. Разница — в уровне проверки владельца и в том, сколько доменов покрывает сертификат.

Важно понимать: для SEO Google не различает DV, OV и EV. Бесплатный DV-сертификат даёт ровно тот же сигнал ранжирования, что и дорогой EV. Тип влияет на доверие и юридические гарантии, а не на позиции в выдаче.

Типы по уровню проверки: DV, OV, EV

Проверка домена (Domain Validation, DV). Нижний уровень. УЦ проверяет лишь то, что домен принадлежит заявителю. Доступен и юрлицам, и физлицам, выпускается за минуты и полностью автоматически. Пользователь видит только замочек и информацию о шифровании.

Let's Encrypt выдаёт DV-сертификаты бесплатно. У платных УЦ цены на DV стартуют примерно от 400–600 грн в год — но переплачивать за DV почти никогда нет смысла.

Проверка организации (Organization Validation, OV). Средний уровень. УЦ подтверждает не только домен, но и существование компании — например, по телефону или через сторонние реестры. Браузер показывает замок, а в данных сертификата видно название организации. Цены — ориентировочно от 1700–2500 грн в год.

Расширенная проверка (Extended Validation, EV). Высший уровень гарантии. УЦ вручную проверяет права на домен, юридическое и физическое существование компании, соответствие официальным документам. Стандарты задаёт международный CA/Browser Forum. Из-за ручной проверки EV дороже всего — от 4000–6000 грн в год и выше — и доступен только юрлицам. Используют его в основном банки, финансовые сервисы и крупные интернет-магазины.

Типы по количеству доменов: одиночный, Wildcard, SAN

Обычный сертификат защищает одно доменное имя. Если он выпущен для www.mydomain.com, его нельзя использовать на mail.mydomain.com или www.otherdomain.com.

Wildcard покрывает домен и все его поддомены сразу. Например, *.mydomain.com подойдёт для mail.mydomain.com, www.mydomain.com, shop.mydomain.com и так далее. Бесплатные Wildcard-сертификаты тоже выдаёт Let's Encrypt (через проверку DNS).

SAN (Subject Alternative Name), или мультидоменный сертификат защищает несколько разных доменов одним файлом — удобно, если у вас несколько проектов на разных доменных зонах.

Какой сертификат выбрать в 2026

• Блог, информационный или корпоративный сайт без оплат — бесплатный DV или Wildcard от Let's Encrypt. Этого достаточно в 9 случаях из 10.
• Интернет-магазин или сервис с приёмом платежей — DV вполне закрывает шифрование; при желании усилить доверие можно взять OV.
• Банк, финтех, крупная компания — EV ради максимальных юридических гарантий и узнаваемости бренда в сертификате.

Бесплатный Let's Encrypt против платных сертификатов

Главное, что нужно запомнить: уровень шифрования у бесплатного и платного сертификата одинаковый. Браузер не «доверяет» дорогому EV сильнее на уровне криптографии. Тогда зачем платить?

• Гарантии (warranty). Платные УЦ страхуют пользователей на суммы от $10 000 до $1 млн и выше на случай, если шифрование подведёт. У бесплатных сертификатов такой страховки нет.
• Уровень проверки. Let's Encrypt выдаёт только DV. OV и EV с отображением названия компании можно получить лишь у платных центров.
• Поддержка. С платным сертификатом вы получаете техподдержку УЦ; с бесплатным придётся разбираться по документации самостоятельно.
• Срок и автообновление. Let's Encrypt выпускает сертификаты на 90 дней с автопродлением через ACME-клиент (например, Certbot). Это не минус, а плюс — автоматизация снимает риск «забыть продлить».

Для подавляющего большинства сайтов бесплатного Let's Encrypt более чем достаточно. Платный смысл имеет, когда важны юридические гарантии или брендовая узнаваемость (банки, финансы, крупный e-commerce).

Как получить и установить SSL-сертификат

Процедура несложная, но отнимет от нескольких минут (для DV) до пары дней (для EV). Разберёмся по шагам.

Шаг 1. Выбрать удостоверяющий центр

УЦ подписывает SSL-сертификаты корневым сертификатом, который установлен во всех популярных браузерах — благодаря этому браузер и распознаёт «хороший» сертификат. Среди международных центров: DigiCert, Sectigo, GlobalSign, GeoTrust и другие. Особой разницы для DV между ними нет. Отдельно стоит Let's Encrypt — он выдаёт DV бесплатно и автоматически.

Шаг 2. Купить или выпустить сертификат

Платный SSL можно купить напрямую в УЦ, через реселлеров или у хостинг-провайдера — часто провайдер ещё и помогает с установкой. В Украине большинство хостингов предлагают как бесплатный Let's Encrypt «в один клик», так и платные сертификаты. Бесплатный DV или Wildcard выпускается прямо в панели управления хостингом без оплаты.

Шаг 3. Запросить сертификат (для платных)

Для DV достаточно подтвердить контроль над доменом (по e-mail или DNS). Для OV/EV потребуется указать юридическое название, реальный адрес и телефон компании. Продавец сгенерирует CSR-запрос и приватный ключ — их нужно сохранить. Активация DV занимает минуты, OV — часы, EV — до нескольких дней из-за ручной проверки.

Шаг 4. Установить сертификат и включить HTTPS

После выпуска вы получите сам сертификат, корневой и промежуточный сертификаты и приватный ключ. Всё это устанавливается на хостинг или сервер — через панели cPanel, Plesk, ISPmanager или с помощью поддержки провайдера. Для бесплатного Let's Encrypt проще всего использовать Certbot — он сам запрашивает, устанавливает и обновляет сертификаты.

После установки сайт начнёт работать по HTTPS, но и старый HTTP останется доступным. Чтобы перевести все запросы на защищённое соединение, настройте 301-редирект с HTTP на HTTPS и обновите внутренние ссылки, canonical и sitemap.

Шаг 5. Закрыть «технический долг» после перехода

После миграции на HTTPS стоит проверить ещё три момента:

• Mixed content (смешанный контент). Если на HTTPS-странице остаются картинки, скрипты или стили, загружаемые по HTTP, браузер «ломает» замочек. Найдите такие ресурсы через консоль браузера и переведите их на HTTPS.
• HSTS. Заголовок HTTP Strict Transport Security заставляет браузер всегда подключаться по HTTPS. Включайте его только после того, как миграция полностью отлажена, и начинайте с небольшого срока действия.
• Срок действия и мониторинг. С марта 2026 года максимальный срок жизни публичных сертификатов сокращён до 200 дней, а в перспективе — до 100 и затем 47 дней. Поэтому ручное продление становится рискованным: настройте автообновление и оповещения об истечении.

Обратите внимание! При переходе на HTTPS меняется адрес сайта, и Google может временно воспринять его как новый. Чтобы не потерять позиции, следуйте официальной инструкции Google по переносу сайта с изменением URL и при необходимости закажите технический аудит.

FAQ: частые вопросы об SSL-сертификатах

Бесплатный SSL хуже платного для SEO?

Нет. Google не различает DV, OV и EV — для ранжирования важен сам факт HTTPS. Бесплатный DV от Let's Encrypt даёт тот же SEO-эффект, что и дорогой EV.

Что лучше — SSL или TLS?

Технически правильный термин — TLS, а «SSL» используют по привычке. Сам протокол SSL устарел и отключён. Современный стандарт — TLS 1.3; устаревшие версии (SSL, TLS 1.0/1.1) нужно отключать на сервере.

Как часто нужно обновлять сертификат?

Let's Encrypt действует 90 дней и продлевается автоматически. С марта 2026 года максимальный срок любых публичных сертификатов — 200 дней, и он будет дальше сокращаться. Поэтому лучшая стратегия — автообновление, а не ручное продление раз в год.

Что такое Wildcard-сертификат?

Это сертификат вида *.mydomain.com, который защищает домен и все его поддомены одним файлом. Бесплатный Wildcard можно получить в Let's Encrypt через проверку DNS.

Почему после установки SSL сайт всё равно «Не защищён»?

Чаще всего причина — mixed content: часть ресурсов (картинки, скрипты, стили) грузится по HTTP. Найдите их в консоли браузера и переведите на HTTPS, а также настройте 301-редирект со всего HTTP на HTTPS.

Нужен ли SSL небольшому сайту-визитке без форм?

Да. Даже без форм Chrome помечает HTTP-сайты как небезопасные, а HTTPS остаётся сигналом ранжирования. Бесплатный Let's Encrypt закрывает вопрос полностью.

Запомните

1. SSL/TLS-сертификат необходим практически каждому сайту: он переводит его на HTTPS, шифрует данные и убирает пометку «Не защищено».
2. HTTPS — подтверждённый сигнал ранжирования Google, но для SEO тип сертификата (DV/OV/EV) роли не играет.
3. Для 9 из 10 сайтов достаточно бесплатного DV или Wildcard от Let's Encrypt с автообновлением.
4. Платный OV/EV нужен ради юридических гарантий и брендовой узнаваемости — банкам, финансам, крупному e-commerce.
5. В 2026 году следите за сроком действия (теперь 200 дней) и закрывайте mixed content после перехода на HTTPS.