HTTPS и SSL: что проверить заказчику без паники

Зачем заказчику вообще про SSL

HTTPS - это когда адрес начинается с https:// и браузер показывает замок. SSL-сертификат шифрует данные между сайтом и посетителем. Для форм с телефоном и email это база. Без HTTPS браузер помечает сайт «не защищён», часть пользователей уходит, рекламные площадки и SEO хуже относятся к http.

Я обычно говорю: SSL бесплатен (Let's Encrypt), но его надо включить и не сломать редиректами.

Короче.

«Сертификат есть» и «сайт везде открывается по https» - разные вещи.

Мини-чеклист за 10 минут

  • Откройте https://ваш-домен.ru - замок без предупреждений.
  • Откройте http://ваш-домен.ru - должен перекинуть на https.
  • Откройте https://www.ваш-домен.ru - один канонический вариант (с www или без).
  • Отправьте тестовую заявку - форма работает по https.

Что смотреть в браузере

Клик по замку в «Соединение защищено» в «Сертификат действителен». Если «Небезопасно» или «Срок действия истёк» - срочно к подрядчику или хостингу.

Проверено на живых проектах.

Срок Let's Encrypt - 90 дней, продление должно быть автоматическим.

# Проверка с терминала (опционально)
curl -I http://example.com
# Ожидаем: 301 Location: https://example.com/

Базовая связка hosting + SSL - в статье про hosting, домен и SSL.

Смешанный контент

Страница https, но картинка или скрипт грузятся по http - браузер ругается, замок слетает. Частая причина после миграции или вставки виджета старой версии.

Не теория.

Я прошу подрядчика прогнать сайт через DevTools в Console и убрать http-ссылки.

СимптомЧто делать
Нет редиректа http в httpsНастроить на nginx/хостинге
Истёк сертификатПродлить Let's Encrypt или купить новый
www и без www оба открываютсяВыбрать один, второй редиректить
Форма шлёт на httpИсправить action формы и API

www или без www

Выберите один главный адрес. Второй должен 301 на первый. Иначе дубли в SEO и путаница в рекламе, я обычно фиксирую в ТЗ: «канонический домен example.com без www».

SSL на staging

Тестовый поддомен тоже лучше с https, особенно если тестируете формы и оплату. Let's Encrypt выдаёт на поддомены. Staging без ssl - нормально только для внутренней сети, не для ссылки заказчику.

Клиент один раз отправил форму на http-версии, браузер показал предупреждение - половина заявок потерялась до исправления редиректа.

HSTS (не обязательно, но полезно)

Заголовок, который говорит браузеру всегда ходить по https, включают после того, как редиректы проверены. Ошибка с HSTS до проверки ssl - больно чинить, поэтому заказчику достаточно знать, что это задача разработчика после чеклиста.

Формы и платежи

Платёжные виджеты (ЮKassa, Stripe) требуют https на странице оплаты, если лендинг на http, оплата не подключится, при этом проверьте страницу checkout до запуска рекламы.

Про формы - как не потерять заявки. Перед запуском - чеклист перед запуском.

Кто отвечает за продление

На shared-хостинге ssl часто включает панель автоматически, на VPS - certbot и cron у разработчика, и спросите: «Что будет, если сертификат не продлится в воскресенье?» Должен быть мониторинг или алерт.

Коммерческий vs Let's Encrypt

Для обычного сайта LE достаточно. Платный сертификат нужен реже: банк, госсектор, особые требования compliance, не переплачивайте «за SEO» - поисковикам вс равно DV от LE.

nginx: типовой редирект

server {
  listen 80;
  server_name example.com www.example.com;
  return 301 https://example.com$request_uri;
}

Не правьте сами на проде без бэкапа. Покажите подрядчику чеклист и попросите скрин ответа curl -I.

После переноса на новый хостинг

DNS переключили, ssl забыли - классика. После любого переноса прогоните чеклист заново. Про перенос - без простоя.

Метрика и https

В счётчике Метрики укажите https-версию сайта, цели и вебвизор должны работать на защищённой версии, плюс смешение http/https в отчётах - признак, что редирект не везде настроен.

Итог для заказчика

SSL - не «галочка для гиков», а часть приёмки сайта, десять минут проверки с вашей стороны экономят репутацию и заявки, при этом зафиксируйте в приёмке: «http редиректит, сертификат валиден, форма работает по https».

HSTS и продвинутые проверки

Заказчику не обязательно настраивать HSTS самому, но полезно знать: после включения браузер запоминает, что сайт только https. Ошибка сертификата станет жёстче. Поэтому сначала чеклист, потом HSTS. Подрядчик включает, вы проверяете замок.

Ещё проверка: открыть сайт в incognito и в обычном окне, кэш иногда скрывает проблему mixed content, и ctrl+F5 на главной после любого переноса.

Wildcard и несколько поддоменов

Если есть blog.example.com и shop.example.com, ssl должен покрывать оба или быть отдельный на каждый. Let's Encrypt поддерживает multi-domain. Заказчик проверяет каждый поддомен из чеклиста, не только www.

Cloudflare и другие CDN добавляют слой: ssl между пользователем и Cloudflare и между Cloudflare и origin. При проблемах спрашивайте подрядчика про «full strict», не только «замок есть».

ssl и доверие клиентов

Для B2B и медицины клиенты смотрят на замок сознательно, предупреждение браузера - минус к заявке, даже если «у нас же не магазин», а форма с телефоном - уже чувствительные данные.

После исправления ssl подождите 24 часа и проверьте снова с мобильного 4G, не только офисного Wi-Fi. Разные сети иногда по-разному кэшируют.

Онлайн-проверки без терминала

SSL Labs (ssllabs.com/ssltest) покажет срок, цепочку, редиректы, достаточно ввести домен и дождаться отчёта, а зелёный A - хорошо, предупреждения про смешанный контент - к разработчику.

Я прошу заказчика сохранить скрин отчёта в папку «Сайт» при приёмке, через год при смене хостинга будет с чем сравнить «было/стало».

Что написать подрядчику, если замок слетел

Не открывается https://example.com
Браузер: NET::ERR_CERT_DATE_INVALID
http не редиректит
Прошу: продлить сертификат, проверить cron certbot, скрин curl -I

Конкретное сообщение быстрее, чем «сайт сломался».

Certbot на VPS: что спросить

Если сайт на VPS, ssl обычно через certbot. Спросите: «Где cron на продление?», «Куда падает алерт, если renewal failed?». Типовая команда: certbot renew --dry-run. Заказчику достаточно попросить скрин успешного dry-run раз в квартал.

При смене подрядчика новый dev должен увидеть в документации: путь к сертификату, команда renewal, email для Let's Encrypt. Без этого через 90 дней сайт может лечь в нерабочее время.

Редирект цепочками

http в https в другой URL - двойной редирект. Проверьте, что финальный адрес один. В рекламе и визитках один канонический URL, иначе Метрика дробит сессии. Про хостинг и домен - отдельный разбор.

Приёмка ssl в акте

Я прошу включить в акт три пункта: сертификат валиден, http редиректит на https, тестовая форма отправлена по https. Подпись заказчика. Потом не спорят «мы не знали, что http работал».

Если сайт на поддоменах staging и www, каждый проверяется отдельно. Один забытый поддомен без ssl - предупреждение в браузере при переходе из письма.

Коротко на практике

Я solo-разработчик и каждый такой проект веду сам: созвон, оценка, staging, выкладка, передача доступов. Заказчику не нужно разбираться в терминах, но нужно понимать решения: что вы выбрали, почему, что проверить при приёмке. Я обычно фиксирую это в переписке или в ТЗ, чтобы через полгода не вспоминать «а мы же договаривались».

Если тема пересекается с бюджетом или сроками, сверяйтесь с стоимостью сайта и ценами. Перед стартом полезно пройти вопросы до предоплаты и чеклист перед запуском. Вопросы - через контакты или услуги на сайте.

HTTPS и SSL. Замок в браузере и редирект с http обязательны для доверия, форм и рекламы; проверить можно за десять минут без технического образования.

План на ближайшие дни

  1. Проверьте https, http и www варианты адреса вручную.
  2. Отправьте тестовую заявку и посмотрите URL в адресной строке.
  3. Попросите подрядчика скрин сертификата и срока действия.
  4. Добавьте пункт про SSL в чеклист приёмки из ТЗ.
  5. После смены хостинга повторите проверку в тот же день.
  6. Убедитесь, что в рекламе и визитках указан https-адрес.

Что тормозит сдачу

  • Считать, что ssl «настроит хостинг сам» и не проверять после переноса.
  • Оставлять рабочими и http, и https без редиректа.
  • Вставлять http-картинки и скрипты на https-страницу.
  • Забыть продление сертификата на VPS без автоматизации.
  • Тестировать сайт только по http из закладок.

Когда подключать разработчика. Разработчик настраивает сертификат, редиректы, canonical и убирает mixed content; без этого формальное «сайт готов» не защищает данные клиентов. Ориентиры по срокам и бюджету - на странице цен, услуги - в разделе услуг.

На созвонах это всплывает в первые десять минут.

Хотите обсудить похожую задачу? Перед запуском пройдусь по HTTPS и формам - часто там прячутся сюрпризы.

Обсудить проект →