HTTPS и SSL: что проверить заказчику без паники
Зачем заказчику вообще про SSL
HTTPS - это когда адрес начинается с https:// и браузер показывает замок. SSL-сертификат шифрует данные между сайтом и посетителем. Для форм с телефоном и email это база. Без HTTPS браузер помечает сайт «не защищён», часть пользователей уходит, рекламные площадки и SEO хуже относятся к http.
Я обычно говорю: SSL бесплатен (Let's Encrypt), но его надо включить и не сломать редиректами.
Короче.
«Сертификат есть» и «сайт везде открывается по https» - разные вещи.
Мини-чеклист за 10 минут
- Откройте
https://ваш-домен.ru- замок без предупреждений. - Откройте
http://ваш-домен.ru- должен перекинуть на https. - Откройте
https://www.ваш-домен.ru- один канонический вариант (с www или без). - Отправьте тестовую заявку - форма работает по https.
Что смотреть в браузере
Клик по замку в «Соединение защищено» в «Сертификат действителен». Если «Небезопасно» или «Срок действия истёк» - срочно к подрядчику или хостингу.
Проверено на живых проектах.
Срок Let's Encrypt - 90 дней, продление должно быть автоматическим.
# Проверка с терминала (опционально)
curl -I http://example.com
# Ожидаем: 301 Location: https://example.com/
Базовая связка hosting + SSL - в статье про hosting, домен и SSL.
Смешанный контент
Страница https, но картинка или скрипт грузятся по http - браузер ругается, замок слетает. Частая причина после миграции или вставки виджета старой версии.
Не теория.
Я прошу подрядчика прогнать сайт через DevTools в Console и убрать http-ссылки.
| Симптом | Что делать |
|---|---|
| Нет редиректа http в https | Настроить на nginx/хостинге |
| Истёк сертификат | Продлить Let's Encrypt или купить новый |
| www и без www оба открываются | Выбрать один, второй редиректить |
| Форма шлёт на http | Исправить action формы и API |
www или без www
Выберите один главный адрес. Второй должен 301 на первый. Иначе дубли в SEO и путаница в рекламе, я обычно фиксирую в ТЗ: «канонический домен example.com без www».
SSL на staging
Тестовый поддомен тоже лучше с https, особенно если тестируете формы и оплату. Let's Encrypt выдаёт на поддомены. Staging без ssl - нормально только для внутренней сети, не для ссылки заказчику.
Клиент один раз отправил форму на http-версии, браузер показал предупреждение - половина заявок потерялась до исправления редиректа.
HSTS (не обязательно, но полезно)
Заголовок, который говорит браузеру всегда ходить по https, включают после того, как редиректы проверены. Ошибка с HSTS до проверки ssl - больно чинить, поэтому заказчику достаточно знать, что это задача разработчика после чеклиста.
Формы и платежи
Платёжные виджеты (ЮKassa, Stripe) требуют https на странице оплаты, если лендинг на http, оплата не подключится, при этом проверьте страницу checkout до запуска рекламы.
Про формы - как не потерять заявки. Перед запуском - чеклист перед запуском.
Кто отвечает за продление
На shared-хостинге ssl часто включает панель автоматически, на VPS - certbot и cron у разработчика, и спросите: «Что будет, если сертификат не продлится в воскресенье?» Должен быть мониторинг или алерт.
Коммерческий vs Let's Encrypt
Для обычного сайта LE достаточно. Платный сертификат нужен реже: банк, госсектор, особые требования compliance, не переплачивайте «за SEO» - поисковикам вс равно DV от LE.
nginx: типовой редирект
server {
listen 80;
server_name example.com www.example.com;
return 301 https://example.com$request_uri;
}
Не правьте сами на проде без бэкапа. Покажите подрядчику чеклист и попросите скрин ответа curl -I.
После переноса на новый хостинг
DNS переключили, ssl забыли - классика. После любого переноса прогоните чеклист заново. Про перенос - без простоя.
Метрика и https
В счётчике Метрики укажите https-версию сайта, цели и вебвизор должны работать на защищённой версии, плюс смешение http/https в отчётах - признак, что редирект не везде настроен.
Итог для заказчика
SSL - не «галочка для гиков», а часть приёмки сайта, десять минут проверки с вашей стороны экономят репутацию и заявки, при этом зафиксируйте в приёмке: «http редиректит, сертификат валиден, форма работает по https».
HSTS и продвинутые проверки
Заказчику не обязательно настраивать HSTS самому, но полезно знать: после включения браузер запоминает, что сайт только https. Ошибка сертификата станет жёстче. Поэтому сначала чеклист, потом HSTS. Подрядчик включает, вы проверяете замок.
Ещё проверка: открыть сайт в incognito и в обычном окне, кэш иногда скрывает проблему mixed content, и ctrl+F5 на главной после любого переноса.
Wildcard и несколько поддоменов
Если есть blog.example.com и shop.example.com, ssl должен покрывать оба или быть отдельный на каждый. Let's Encrypt поддерживает multi-domain. Заказчик проверяет каждый поддомен из чеклиста, не только www.
Cloudflare и другие CDN добавляют слой: ssl между пользователем и Cloudflare и между Cloudflare и origin. При проблемах спрашивайте подрядчика про «full strict», не только «замок есть».
ssl и доверие клиентов
Для B2B и медицины клиенты смотрят на замок сознательно, предупреждение браузера - минус к заявке, даже если «у нас же не магазин», а форма с телефоном - уже чувствительные данные.
После исправления ssl подождите 24 часа и проверьте снова с мобильного 4G, не только офисного Wi-Fi. Разные сети иногда по-разному кэшируют.
Онлайн-проверки без терминала
SSL Labs (ssllabs.com/ssltest) покажет срок, цепочку, редиректы, достаточно ввести домен и дождаться отчёта, а зелёный A - хорошо, предупреждения про смешанный контент - к разработчику.
Я прошу заказчика сохранить скрин отчёта в папку «Сайт» при приёмке, через год при смене хостинга будет с чем сравнить «было/стало».
Что написать подрядчику, если замок слетел
Не открывается https://example.com
Браузер: NET::ERR_CERT_DATE_INVALID
http не редиректит
Прошу: продлить сертификат, проверить cron certbot, скрин curl -I
Конкретное сообщение быстрее, чем «сайт сломался».
Certbot на VPS: что спросить
Если сайт на VPS, ssl обычно через certbot. Спросите: «Где cron на продление?», «Куда падает алерт, если renewal failed?». Типовая команда: certbot renew --dry-run. Заказчику достаточно попросить скрин успешного dry-run раз в квартал.
При смене подрядчика новый dev должен увидеть в документации: путь к сертификату, команда renewal, email для Let's Encrypt. Без этого через 90 дней сайт может лечь в нерабочее время.
Редирект цепочками
http в https в другой URL - двойной редирект. Проверьте, что финальный адрес один. В рекламе и визитках один канонический URL, иначе Метрика дробит сессии. Про хостинг и домен - отдельный разбор.
Приёмка ssl в акте
Я прошу включить в акт три пункта: сертификат валиден, http редиректит на https, тестовая форма отправлена по https. Подпись заказчика. Потом не спорят «мы не знали, что http работал».
Если сайт на поддоменах staging и www, каждый проверяется отдельно. Один забытый поддомен без ssl - предупреждение в браузере при переходе из письма.
Коротко на практике
Я solo-разработчик и каждый такой проект веду сам: созвон, оценка, staging, выкладка, передача доступов. Заказчику не нужно разбираться в терминах, но нужно понимать решения: что вы выбрали, почему, что проверить при приёмке. Я обычно фиксирую это в переписке или в ТЗ, чтобы через полгода не вспоминать «а мы же договаривались».
Если тема пересекается с бюджетом или сроками, сверяйтесь с стоимостью сайта и ценами. Перед стартом полезно пройти вопросы до предоплаты и чеклист перед запуском. Вопросы - через контакты или услуги на сайте.
HTTPS и SSL. Замок в браузере и редирект с http обязательны для доверия, форм и рекламы; проверить можно за десять минут без технического образования.
План на ближайшие дни
- Проверьте https, http и www варианты адреса вручную.
- Отправьте тестовую заявку и посмотрите URL в адресной строке.
- Попросите подрядчика скрин сертификата и срока действия.
- Добавьте пункт про SSL в чеклист приёмки из ТЗ.
- После смены хостинга повторите проверку в тот же день.
- Убедитесь, что в рекламе и визитках указан https-адрес.
Что тормозит сдачу
- Считать, что ssl «настроит хостинг сам» и не проверять после переноса.
- Оставлять рабочими и http, и https без редиректа.
- Вставлять http-картинки и скрипты на https-страницу.
- Забыть продление сертификата на VPS без автоматизации.
- Тестировать сайт только по http из закладок.
Когда подключать разработчика. Разработчик настраивает сертификат, редиректы, canonical и убирает mixed content; без этого формальное «сайт готов» не защищает данные клиентов. Ориентиры по срокам и бюджету - на странице цен, услуги - в разделе услуг.
На созвонах это всплывает в первые десять минут.
Хотите обсудить похожую задачу? Перед запуском пройдусь по HTTPS и формам - часто там прячутся сюрпризы.
Обсудить проект →