Defaults.Exposed › Исправления › HTTPS и принудительное перенаправление на защищённое соединение

Как исправить HTTPS и принудительное перенаправление на защищённое соединение

HTTPS — это замок в адресной строке браузера: он шифрует всё, что курсирует между вашим сайтом и клиентами, чтобы это нельзя было прочитать или подменить в пути. Принудительное перенаправление гарантирует, что посетители попадают на зашифрованную версию автоматически, даже когда они вводят адрес без «https://». Вместе это самое базовое, что нужно сайту, чтобы вообще считаться безопасным.

Главное для вашего бизнеса: Без HTTPS каждый пароль, номер карты и сообщение, которые клиент вам отправляет, пересекают интернет читаемым текстом, а Chrome, Edge, Safari и Firefox клеймят ваш сайт «Не защищено» каждому посетителю ещё до того, как он прочитает хоть слово. Без перенаправления даже сайты с сертификатом оставляют самый первый визит незащищённым. И то и другое стоит вам доверия, продаж и позиции в поиске — и и то и другое чинится бесплатно за минуты.

Во что это может вам обойтись

• Посетитель впервые видит большое предупреждение «Не защищено» в момент загрузки страницы. Большинство решают, что сайт фальшивый, сломанный или небезопасный, и уходят к конкуренту — а вы даже не знаете, что продажа потеряна.
• Клиент вводит данные карты или входит в аккаунт по незашифрованному соединению из кафе, отеля или аэропорта. Кто-то в той же WiFi-сети читает это открытым текстом, и в последующих мошеннических списаниях винят вас.
• Отдел закупок или безопасности крупного клиента перед подписанием быстро сканирует сайт, не видит HTTPS или отсутствует принудительное перенаправление, и замораживает контракт, пока вы не докажете, что это исправлено.
• Google ставит вас ниже конкурентов, отдающих HTTPS, поэтому вы годами тихо теряете поисковый трафик, никогда не связывая это с этим пробелом.
• Регулятор или ваш платёжный провайдер расценивает передачу персональных данных или данных карт без шифрования как нарушение, подлежащее отчёту, превращая пятиминутное бесплатное исправление в проблему соответствия требованиям.

Почему это важно. HTTPS — это пол, а не потолок веб-безопасности: именно он заставляет появиться замок и не даёт прочитать или изменить всё, что отправляют ваши клиенты, в пути. Принудительное перенаправление закрывает брешь, которую один сертификат оставляет открытой: люди почти никогда не вводят «https://», поэтому без перенаправления их первый запрос идёт незащищённым ещё до того, как загрузится безопасная версия. Сайт без чего-либо из этого выглядит небезопасным для посетителей, ниже ранжируется в поиске и подставляет реальные данные клиентов — поэтому это самый весомый одиночный провал в нашей оценке.

Что это простыми словами

HTTPS — это защищённая, зашифрованная версия вашего сайта, та, что показывает замок в адресной строке. Когда посетитель на HTTPS, всё, что курсирует между его браузером и вашим сайтом (страницы, которые он видит, формы, которые заполняет, его пароли, данные карты), зашифровано так, что никто посередине не может это прочитать или изменить. Обычная версия, HTTP, отправляет всё это читаемым текстом, который любой в той же сети может перехватить.

Чтобы наладить это правильно, есть две части, и мы проверяем обе:

• Доступен ли HTTPS вообще? Есть ли у сайта рабочий сертификат безопасности, чтобы защищённая версия с замком существовала? Это серьёзнее из двух — без него нет вообще никакого шифрования.
• Принуждает ли сайт посетителей на него? Почти никто не вводит «https://» вручную. Если кто-то набирает просто имя домена, его браузер сначала пробует обычную HTTP-версию. Принудительное перенаправление на защищённое соединение автоматически перебрасывает этот запрос на зашифрованную версию. Без него первые мгновения каждого визита незащищены, даже если у вас есть сертификат.

Вам нужны обе. Сертификат без перенаправления — это запертая парадная дверь, которую посетители могут просто обойти.

Что на кону для бизнеса

Это самый базовый признак того, безопасен ли сайт, — и, что важно, тот, который ваши клиенты видят сами. Каждый современный браузер (Chrome, Edge, Safari, Firefox) помечает сайт без HTTPS как «Не защищено» прямо в адресной строке и показывает предупреждение, если кто-то пытается ввести что-то в форму. Вашим посетителям не нужно знать, что такое сертификат, чтобы среагировать на это слово.

Помимо видимого предупреждения, это влияет на три вещи, которые напрямую заботят владельцев: доверие (люди покидают сайты, выглядящие небезопасно), позиция в поиске (Google годами использует HTTPS как сигнал ранжирования и предпочитает защищённые сайты) и реальная уязвимость (данные, отправленные по обычному HTTP, действительно могут прочитать другие в той же сети). Это ещё и то, что служба безопасности более крупного клиента проверяет за секунды в ходе due diligence, — и отсутствие этого может застопорить сделку.

Чем это может вам обойтись

• Тихий уход. Потенциальный клиент переходит из результата поиска или рекламы, а страница загружается с серым значком «Не защищено» — или хуже, с полноэкранным предупреждением. Он не пишет вам спросить почему; он просто закрывает вкладку и кликает следующий результат. Вы заплатили за этот визит и потеряли его раньше, чем он прочитал хоть слово, и ничто в вашей аналитике не объяснит почему.
• Перехваченный вход или платёж. Клиент входит в аккаунт или оформляет покупку из общей WiFi в отеле или кафе. Поскольку соединение не зашифровано, кто-то рядом перехватывает его пароль или номер карты открытым текстом. Последующее мошенничество фиксируется как ваша утечка, и именно вы принимаете гневные звонки и оспаривания платежей.
• Сделка, которая буксует. Более крупный клиент готов подписать, но его процесс закупок включает быструю проверку безопасности вашего сайта. Она возвращается с пометкой об отсутствии HTTPS или отсутствии принудительного перенаправления. Внезапно вы объясняете базовый пробел в безопасности вместо закрытия сделки — и контракт ждёт или тихо уходит к конкуренту, прошедшему проверку.
• Медленная утечка позиций. Два бизнеса предлагают одно и то же; один отдаёт защищённый HTTPS, другой нет. Поисковики подталкивают защищённый выше. За месяцы вы теряете стабильный ручеёк бесплатного трафика и никогда не связываете это с этой одной настройкой.
• Внедрённый контент, которого вы не писали. По незашифрованному соединению любой посередине — сомнительная публичная сеть, скомпрометированный роутер — может вставить в ваши страницы фальшивые всплывающие окна, мошеннические предложения или вредоносный код, пока посетитель их загружает. Для посетителя это выглядит так, будто это сделал ваш сайт.

Что это на самом деле

Когда браузер подключается к сайту по HTTPS, происходят две вещи. Сначала сайт предъявляет сертификат — удостоверение, выданное доверенным центром, доказывающее, что сайт тот, за кого себя выдаёт. Затем браузер и сервер согласуют ключ шифрования и используют его, чтобы зашифровать всё, чем обмениваются. Наша первая проверка, HTTPS доступен, просто спрашивает: можем ли мы установить защищённое TLS-соединение с вашим сайтом по стандартному защищённому порту (443) и получить обратно корректный сертификат? Если да — замок может появиться, и шифрование включено. Если нет — защищённой версии вашего сайта не существует вовсе, и это самый весомый провал в нашей оценке.

Вторая проверка, принудительное перенаправление на защищённое соединение, закрывает брешь, которую один сертификат оставляет открытой. Люди вводят «вашбизнес.com», а не «https://вашбизнес.com». Этот голый запрос сначала идёт на обычную HTTP-версию. Перенаправление — это однострочная инструкция, гласящая «отправь любого, кто пришёл на небезопасную версию, прямо на безопасную». Наша проверка спрашивает: когда мы запрашиваем ваш обычный HTTP-адрес, перебрасывает ли сайт нас на HTTPS? Если да, каждый посетитель оказывается защищённым, как бы он ни ввёл ваш адрес. Если нет, этот первый незащищённый переход несёт всё, что отправляет браузер — куки, данные форм, — в открытом виде.

Как выглядит «хорошо»: корректный, доверенный сертификат, чтобы замок показывался на каждой странице, и каждый обычный HTTP-запрос автоматически перенаправляется на HTTPS-версию (в идеале постоянным перенаправлением «301», которое также чисто передаёт вашу поисковую позицию на защищённый адрес).

Как это исправить (бесплатно, ~15 минут)

Передайте этот раздел вашему ИТ-специалисту или поддержке хостинг-провайдера — исправление бесплатно. Обе части ничего не стоят: доверенные сертификаты бесплатны и продлеваются сами, а включение перенаправления — одна настройка на большинстве платформ. Никакого платного продукта для прохождения проверки не нужно.

Нужно включить две вещи. На большинстве современных хостингов первое часто делает второе переключателем в один клик.

1. Получите сертификат, чтобы HTTPS работал (замок).

• Cloudflare: если ваш сайт за Cloudflare, SSL обрабатывается за вас. Установите режим SSL/TLS в «Full» (или «Full (strict)», если ваш сервер-источник тоже имеет сертификат).
• Конструкторы сайтов и управляемый хостинг (Squarespace, Wix, Shopify, Webflow, конструктор GoDaddy, большинство веб-хостингов при Microsoft 365 / Google Workspace): HTTPS предоставляется автоматически; просто убедитесь, что он включён в настройках сайта/домена — обычно ставить ничего не нужно.
• Хостинг на cPanel: откройте SSL/TLS Status и запустите AutoSSL, который выпускает бесплатный сертификат Let’s Encrypt.
• Собственный сервер (VPS): установите Let’s Encrypt через Certbot — sudo certbot --nginx -d вашдомен.com (или --apache). Он получает и устанавливает бесплатный сертификат и настраивает автопродление.
• Что угодно ещё: обратитесь в поддержку хостинг-провайдера и попросите «включить бесплатный SSL-сертификат для моего домена». Почти все предлагают это бесплатно.

2. Принудите каждого посетителя на HTTPS (перенаправление).

• Cloudflare: SSL/TLS → Edge Certificates → включите «Always Use HTTPS». Это вся работа.
• Конструкторы сайтов (Squarespace, Wix, Shopify и т. п.): найдите переключатель «Force HTTPS» или «Secure (HTTPS)» в настройках сайта и включите его.
• Nginx: добавьте серверный блок на порт 80, возвращающий постоянное перенаправление — return 301 https://$host$request_uri;.
• Apache (.htaccess): включите перезапись и перенаправляйте любой не-HTTPS запрос — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (хостинг на Windows): установите модуль URL Rewrite и добавьте правило перенаправления «HTTP to HTTPS».

После включения обоих проверьте: введите свой адрес с обычным http:// впереди и убедитесь, что браузер автоматически перескакивает на версию https:// с замком, и что замок показывается на ваших основных страницах.

Частые ошибки

• Сертификат установлен, но нет перенаправления. Самый частый пробел. Вы видите замок, когда заходите на собственный сайт (потому что браузер запомнил HTTPS), и думаете, что готово, — но новые посетители, вводящие голый домен, всё равно сначала попадают на HTTP. Всегда явно проверяйте обычную версию http://.
• Смешанный контент. Ваша страница загружается по HTTPS, но подтягивает изображение, скрипт или шрифт со старого http://-адреса. Браузеры либо блокируют это, либо понижают замок до предупреждения. Обновите эти ссылки на https:// (или на относительные). У большинства платформ есть отчёт о «смешанном» или «небезопасном» контенте, который их находит.
• Временное (302) перенаправление вместо постоянного (301). 302 работает для посетителей, но говорит поисковикам, что переезд временный, поэтому ценность ранжирования не переносится чисто на защищённый адрес. Используйте постоянное 301.
• Перенаправление только голого домена, но не «www» (или наоборот). Убедитесь, что и вашдомен.com, и www.вашдомен.com оказываются на HTTPS, иначе один путь по-прежнему открыт.
• Просроченный сертификат. Истёкший сертификат выдаёт полноэкранную ошибку браузера, останавливающую посетителей наглухо. Бесплатные сертификаты Let’s Encrypt продлеваются сами; если вы купили его вручную, поставьте напоминание в календаре заблаговременно до истечения.

FAQ

См. вопросы выше — они охватывают нетехническое «смогу ли я сам», разницу между наличием замка и принуждением перенаправления, стоимость и продление сертификата, нужен ли он сайтам-визиткам и как это связано с HSTS.

Частые вопросы