Зачем сайту HTTPS, как получить SSL-сертификат и переехать с HTTP без потери позиций: 301-редирект, mixed content, sitemap и canonical. Пошаговый чек-лист.
ГлавнаяБаза знанийПереезд на HTTPS
База знаний · Безопасность

Переезд на HTTPS: как включить шифрование и не потерять позиции

Если аудит показал «Отсутствует HTTPS шифрование» — это критическая проблема, которую видит каждый посетитель. Сайт на HTTP браузер помечает плашкой «Не защищено», а Google с 2014 года учитывает HTTPS в ранжировании. Хорошая новость: переехать можно быстро и бесплатно, а сертификат у многих хостингов уже включён в тариф.

🔒замок вместо «Не защищено»
0 ₽сертификат Let's Encrypt
301редирект — ключ переезда
Кратко — что нужно сделать
  • Получить SSL-сертификат (часто бесплатный — Let's Encrypt или от хостинга)
  • Настроить 301-редирект всего сайта с http на https
  • Устранить mixed content — подгрузку ресурсов по http на https-страницах
  • Обновить canonical, sitemap, robots и адрес сайта в CMS на https
  • Добавить https-версию в вебмастера и переотправить sitemap

Что такое HTTPS и почему это обязательно

HTTP и HTTPS — это протоколы, по которым браузер общается с сайтом. Разница в букве S — Secure: HTTPS шифрует данные между пользователем и сервером, так что их нельзя перехватить или подменить. Поэтому рядом с защищённым сайтом браузер показывает замок, а рядом с незащищённым — предупреждение «Не защищено».

Не защищеноhttp://site.by
🔒https://site.by

Что видит посетитель в адресной строке: слева — HTTP с предупреждением, справа — HTTPS с замком.

Почему это уже не «желательно», а «обязательно»:

  • Доверие. Плашка «Не защищено» отпугивает: человек не станет оставлять заявку или платить на сайте, который браузер называет небезопасным;
  • SEO. Google официально подтвердил HTTPS как сигнал ранжирования; при прочих равных защищённый сайт в выигрыше;
  • Технические возможности. Многие функции браузера (геолокация, часть платёжных виджетов) работают только по HTTPS;
  • Формы и данные. Любая форма — заявка, вход, оплата — по HTTP передаёт данные открытым текстом, что недопустимо.

Именно поэтому наш аудит помечает отсутствие HTTPS как критическую ошибку — она бьёт и по доверию, и по позициям.

Что нужно для переезда: SSL-сертификат

Технически HTTPS включает SSL/TLS-сертификат — он подтверждает подлинность сайта и обеспечивает шифрование. Получить его проще, чем кажется:

  • Бесплатно через Let's Encrypt — этот центр выдаёт сертификаты бесплатно, и большинство хостингов ставят и автоматически продлевают их в пару кликов;
  • Через хостинг — у многих провайдеров бесплатный сертификат уже включён в тариф, нужно только активировать его в панели;
  • Через Cloudflare или другой CDN — при подключении сайта HTTPS включается на стороне сервиса;
  • Платные сертификаты (OV/EV) нужны в основном крупным организациям и банкам; для обычного бизнес-сайта бесплатного Let's Encrypt достаточно.

Первым делом проверьте панель хостинга: возможно, сертификат уже доступен и его осталось только включить.

Переезд по шагам

Порядок действий, чтобы переехать без потери позиций:

  1. Установите сертификат — активируйте SSL в панели хостинга или через Let's Encrypt. После этого сайт станет доступен по https://;
  2. Настройте 301-редирект со всего http на https — постоянное перенаправление, чтобы и люди, и поисковики попадали только на защищённую версию. Обычно это .htaccess (Apache), конфиг Nginx или плагин в CMS;
  3. Устраните mixed content — замените ссылки на картинки, скрипты и стили с http:// на https:// (подробнее ниже);
  4. Обновите служебные URL — canonical, адреса в sitemap.xml и robots.txt должны указывать на https-версию. Про их роль — в гайде про canonical-теги;
  5. Смените адрес сайта в CMS — в WordPress это Настройки → Общие: «Адрес WordPress» и «Адрес сайта» на https://;
  6. Обновите вебмастера — добавьте https-версию в Google Search Console и Яндекс Вебмастер как отдельный ресурс и переотправьте sitemap.

Mixed content: главный подводный камень

Самая частая проблема после переезда — смешанный контент (mixed content). Это когда сама страница загружается по https, но какие-то её ресурсы (картинка, скрипт, стиль, шрифт) прописаны со старым http://. Браузер считает такую страницу не полностью защищённой: замок пропадает, а часть ресурсов может не загрузиться.

⚠ На что обратить внимание

Лечится заменой всех внутренних http://-ссылок на https:// (или на относительные пути). На WordPress помогают плагины поиска-замены по базе; вручную — правкой шаблона и контента. После переезда обязательно проверьте несколько страниц на mixed content через консоль браузера (F12).

Частые ошибки из наших аудитов

  • Сертификат есть, но нет редиректа — сайт открывается и по http, и по https; поисковик видит дубли, а часть пользователей остаётся на незащищённой версии;
  • Mixed content — замок сломан из-за картинок и скриптов по http;
  • Canonical и sitemap остались на http — вы переехали, а служебные файлы шлют поисковик обратно на старую версию;
  • Просроченный сертификат — Let's Encrypt выдаётся на 90 дней; без автопродления сайт однажды покажет предупреждение о небезопасности;
  • Забыли добавить https-версию в вебмастера — переиндексация идёт медленнее, статистика делится между http и https.

Как проверить

  1. Адресная строка — откройте сайт: есть ли замок и нет ли плашки «Не защищено»
  2. Редирект — наберите вручную http://вашсайт.by: должно перебросить на https://
  3. Mixed content — F12 → Console: браузер выводит предупреждения о ресурсах по http
  4. Срок сертификата — кликните на замок, посмотрите дату окончания и включено ли автопродление
  5. SEO-аудит — проверяет протокол сайта и помечает, если он всё ещё на HTTP или переехал некорректно

Что дальше

Проверьте панель хостинга — возможно, бесплатный сертификат уже там и его осталось включить. Дальше по шагам: сертификат → 301-редирект всего сайта → устранение mixed content → обновление canonical, sitemap и адреса в CMS → добавление https-версии в вебмастера. После переезда убедитесь, что в браузере горит замок, а http перебрасывает на https. Это фундаментальная правка, которая возвращает доверие посетителей и снимает критическую SEO-проблему.

Хотите убедиться, что сайт полностью и корректно работает на HTTPS, без mixed content и дублей? Закажите комплексный SEO-аудит: проверим протокол, редиректы и служебные файлы, а заодно метатеги, скорость, разметку и видимость в ИИ-поиске.

Частые вопросы

Коротко о переезде на HTTPS

Сертификат правда бесплатный? +
Да. Let's Encrypt выдаёт полноценные SSL-сертификаты бесплатно, и их принимают все браузеры. Для обычного бизнес-сайта этого достаточно — платные сертификаты нужны в основном банкам и крупным организациям. Многие хостинги ставят и продлевают Let's Encrypt автоматически.
Не упадут ли позиции при переезде на HTTPS? +
При корректном переезде — нет, наоборот. Возможна кратковременная просадка на время переиндексации, но она быстро восстанавливается и сменяется плюсом. Главное — сделать 301-редирект, обновить canonical и sitemap и добавить https-версию в вебмастера. Небрежный переезд без редиректов — вот что действительно вредит.
Нужен ли HTTPS, если на сайте нет форм и оплаты? +
Да. Даже сайту-визитке HTTPS нужен: браузер всё равно помечает HTTP как «Не защищено», а Google учитывает протокол в ранжировании. Сегодня HTTPS — это базовая гигиена для любого сайта, а не только для магазинов.
Чем отличается переезд на HTTPS от смены www / без www? +
Это разные вещи, но их часто делают заодно. HTTPS — это протокол (шифрование), www — часть домена. И то, и другое требует выбрать одну главную версию и настроить 301-редирект остальных на неё, чтобы не плодить дубли. Логика одинаковая: один канонический адрес.
Проверим ваш сайт

Ваш сайт точно на HTTPS без ошибок?

Закажите SEO-аудит — проверим протокол, редиректы, mixed content и служебные файлы, чтобы сайт был полностью защищён и без дублей. А заодно метатеги, скорость, разметку и видимость сайта в ИИ-ответах.

SEO Академия