Перевод сайта на HTTPS

краткое определение

Перевод сайта на HTTPS — установка SSL-сертификата и настройка 301-редиректов. Обязателен для SEO и безопасности: Google учитывает HTTPS с 2014 года, Chrome помечает HTTP как незащищённый.

Перевод сайта на HTTPS — процесс установки SSL/TLS-сертификата и настройки постоянных редиректов с HTTP. С июля 2018 года Chrome 68 помечает HTTP-сайты предупреждением «Не защищено». Google учитывает HTTPS как сигнал ранжирования с 2014 года. Правильно выполненный переход не теряет позиций в поиске.

Чеклист перевода на HTTPS

Получить сертификат: бесплатно через Let's Encrypt (certbot) или платный OV/EV у CA. DV-сертификат выпускается за 5 минут.
Установить сертификат на веб-сервер (Nginx, Apache, Caddy).
Настроить 301-редирект с HTTP на HTTPS. Для Nginx: return 301 https://$host$request_uri;
Добавить HSTS (HTTP Strict Transport Security): Strict-Transport-Security: max-age=31536000; includeSubDomains — браузер будет использовать только HTTPS 1 год.
Исправить mixed content — все ресурсы (картинки, скрипты, CSS) должны загружаться через HTTPS. Протоколонезависимые URL: //cdn.example.com/file.js.
Обновить canonical-теги в HTML (href="https://...") и sitemap.xml.
Обновить GSC / Яндекс.Вебмастер: добавить HTTPS-версию и настроить как основное зеркало.

Mixed Content

Mixed content — когда HTTPS-страница загружает ресурс по HTTP. Браузеры блокируют активный mixed content (скрипты, iframe) и предупреждают о пассивном (картинки, видео). Инструмент поиска: Chrome DevTools → Console → фильтр «mixed content». Для WordPress используют плагин Really Simple SSL или Search-Replace-DB для замены URL в базе данных.

HTTPS и SEO

Google подтвердил HTTPS как сигнал ранжирования в августе 2014 года. Яндекс — с 2015 года. Переход с HTTP на HTTPS при правильных 301-редиректах передаёт PageRank и не теряет позиций. Ошибки: редирект через 302 (временный), цепочки редиректов (HTTP→HTTP→HTTPS), некорректные canonicals — всё это размывает ссылочный вес. TTFB при HTTPS с TLS 1.3 практически идентичен HTTP — разница в 1–2 мс на рукопожатие.

История

HTTPS на основе SSL появился в Netscape в 1994 году. TLS 1.0 стандартизирован в 1999 году (RFC 2246). Поворотным моментом стал 2013 год — разоблачения Сноудена ускорили переход. Инициатива Let's Encrypt (2014–2016) сделала бесплатные сертификаты стандартом и ускорила массовое внедрение HTTPS. К 2023 году по данным Google около 95% трафика Chrome передаётся по HTTPS.

На что обращать внимание

HSTS Preload — отправка домена в список, зашитый в браузеры (hstspreload.org). После добавления откатиться невозможно без потери трафика на несколько месяцев. Добавлять только когда всё переведено на HTTPS, включая поддомены. OCSP Stapling ускоряет HTTPS-соединения — включайте на production. Сертификат для CDN настраивается отдельно: Let's Encrypt не покрывает Cloudflare автоматически.

Частые ошибки при переходе

Canonical указывает на HTTP-версию после перехода — поисковик продолжает индексировать HTTP.
Sitemap.xml содержит HTTP-URL — роботы пойдут через редирект вместо прямых HTTPS-страниц.
HSTS включён до проверки всех поддоменов — поддомен без HTTPS станет недоступен.
Сторонние виджеты (чаты, счётчики) грузятся по HTTP — браузер блокирует или предупреждает.