HTTPS — що це простими словами
HTTPS — це HTTP поверх TLS-шифрування: протокол, який захищає дані між браузером користувача і вашим сервером від перехоплення та підробки.
Буква «S» означає Secure. Весь трафік — форми, паролі, cookie, навіть звичайні HTML-сторінки — передається зашифрованим каналом. Без нього будь-хто в тій самій мережі (публічний Wi-Fi, скомпрометований провайдер) може прочитати або підмінити контент прямо між сервером і браузером.
Як це працює
- TLS-рукостискання. Коли браузер відкриває HTTPS-сайт, сервер надсилає свій TLS-сертифікат. Браузер перевіряє його дійсність і узгоджує з сервером симетричний ключ шифрування — це і є рукостискання (handshake). Займає мілісекунди.
- Сертифікат і центр сертифікації (CA). Сертифікат підписаний довіреним CA — організацією, чий кореневий сертифікат вбудовано в браузери і ОС. Підпис CA підтверджує: «цей домен дійсно належить власнику сертифіката».
- Шифрування каналу. Після рукостискання весь трафік шифрується симетричним ключем (зазвичай AES). Зловмисник бачить лише зашифровані байти.
- Let's Encrypt. Безкоштовний CA, який автоматично видає і поновлює сертифікати. Більшість хостингів підтримує його «з коробки» — перешкод для переходу на HTTPS фактично немає.
- HSTS. HTTP Strict Transport Security — заголовок, який каже браузеру: «навіть якщо юзер набрав http://, підключайся лише через HTTPS». Усуває вікно між першим запитом і редиректом.
TLS-рукостискання: браузер звіряє сертифікат із CA, після чого канал шифрується спільним ключем.
Навіщо це потрібно
Сигнал ранжування Google. З 2014 року Google офіційно враховує HTTPS при ранжуванні. Це легкий сигнал — впливає на менш ніж 1 % глобальних запитів і важить менше, ніж якість контенту. Але HTTP-сайт свідомо програє HTTPS-конкуренту за рівних умов. Google також включив HTTPS до набору сигналів Page Experience разом із Core Web Vitals.
«Not secure» у Chrome. Починаючи з Chrome 68 (2018), браузер позначає всі HTTP-сторінки як «Not secure» в адресному рядку. На сторінках із формами або полями введення попередження ще помітніше. Користувачі бачать це — і частина з них йде.
Захист даних форм. За рекомендацією web.dev, зловмисник на незахищеній мережі може ін'єктувати рекламу, малвер або підмінити контент прямо у HTTP-відповідь. Форми заявок, особисті дані, сесійні cookie — все це їде відкритим текстом.
HTTP/2 і сучасні API. HTTP/2 (мультиплексування, пріоритизація запитів — все, що прискорює завантаження) браузери підтримують лише поверх TLS. Service Workers, Push Notifications, Geolocation API — вимагають HTTPS. HTTP-сайт технічно обмежений у продуктивності та функціях.
Приклад
Компанія запустила лендінг із формою заявки на HTTP. Chrome показує «Not secure» прямо біля адреси. Частина відвідувачів закриває вкладку, не заповнивши форму — не тому що пропозиція погана, а тому що браузер буквально попередив про небезпеку. Після переходу на HTTPS попередження зникло. Окремий кейс — mixed content: сайт перейшов на HTTPS, але деякі зображення або скрипти ще вантажаться по HTTP. Браузер або блокує їх (активний mixed content: JS, CSS), або показує попередження (пасивний: картинки). Результат — сторінка виглядає зламаною або небезпечною, хоча HTTPS вже є.
HTTP vs HTTPS
| HTTP | HTTPS | |
|---|---|---|
| Шифрування | Немає | TLS (AES + асиметричний обмін ключем) |
| Chrome | «Not secure» | Замок / нейтральний індикатор |
| Ранжування | Програє | Рівні умови (+ легкий плюс) |
| HTTP/2 | Ні | Так |
Повʼязані терміни
- Core Web Vitals — метрики швидкості і стабільності, разом із HTTPS формують Page Experience
- DNS — система доменних імен, яка працює до встановлення TLS-з'єднання
- Schema Markup — структуровані дані, які Google краще читає із захищених сторінок
- Technical SEO — повний аудит технічного стану сайту, включаючи перевірку HTTPS, mixed content і HSTS
Якщо сайт досі на HTTP або ви підозрюєте mixed content після міграції — технічний SEO-аудит покаже точну картину і послідовність виправлень.