Глосарій

HTTPS — що це простими словами

HTTPS — це HTTP поверх TLS-шифрування: протокол, який захищає дані між браузером користувача і вашим сервером від перехоплення та підробки.

Буква «S» означає Secure. Весь трафік — форми, паролі, cookie, навіть звичайні HTML-сторінки — передається зашифрованим каналом. Без нього будь-хто в тій самій мережі (публічний Wi-Fi, скомпрометований провайдер) може прочитати або підмінити контент прямо між сервером і браузером.


Як це працює

  • TLS-рукостискання. Коли браузер відкриває HTTPS-сайт, сервер надсилає свій TLS-сертифікат. Браузер перевіряє його дійсність і узгоджує з сервером симетричний ключ шифрування — це і є рукостискання (handshake). Займає мілісекунди.
  • Сертифікат і центр сертифікації (CA). Сертифікат підписаний довіреним CA — організацією, чий кореневий сертифікат вбудовано в браузери і ОС. Підпис CA підтверджує: «цей домен дійсно належить власнику сертифіката».
  • Шифрування каналу. Після рукостискання весь трафік шифрується симетричним ключем (зазвичай AES). Зловмисник бачить лише зашифровані байти.
  • Let's Encrypt. Безкоштовний CA, який автоматично видає і поновлює сертифікати. Більшість хостингів підтримує його «з коробки» — перешкод для переходу на HTTPS фактично немає.
  • HSTS. HTTP Strict Transport Security — заголовок, який каже браузеру: «навіть якщо юзер набрав http://, підключайся лише через HTTPS». Усуває вікно між першим запитом і редиректом.

Схема TLS-рукостискання: браузер перевіряє сертифікат сервера через центр сертифікації, потім узгоджує спільний ключ шифрування

TLS-рукостискання: браузер звіряє сертифікат із CA, після чого канал шифрується спільним ключем.


Навіщо це потрібно

Сигнал ранжування Google. З 2014 року Google офіційно враховує HTTPS при ранжуванні. Це легкий сигнал — впливає на менш ніж 1 % глобальних запитів і важить менше, ніж якість контенту. Але HTTP-сайт свідомо програє HTTPS-конкуренту за рівних умов. Google також включив HTTPS до набору сигналів Page Experience разом із Core Web Vitals.

«Not secure» у Chrome. Починаючи з Chrome 68 (2018), браузер позначає всі HTTP-сторінки як «Not secure» в адресному рядку. На сторінках із формами або полями введення попередження ще помітніше. Користувачі бачать це — і частина з них йде.

Захист даних форм. За рекомендацією web.dev, зловмисник на незахищеній мережі може ін'єктувати рекламу, малвер або підмінити контент прямо у HTTP-відповідь. Форми заявок, особисті дані, сесійні cookie — все це їде відкритим текстом.

HTTP/2 і сучасні API. HTTP/2 (мультиплексування, пріоритизація запитів — все, що прискорює завантаження) браузери підтримують лише поверх TLS. Service Workers, Push Notifications, Geolocation API — вимагають HTTPS. HTTP-сайт технічно обмежений у продуктивності та функціях.


Приклад

Компанія запустила лендінг із формою заявки на HTTP. Chrome показує «Not secure» прямо біля адреси. Частина відвідувачів закриває вкладку, не заповнивши форму — не тому що пропозиція погана, а тому що браузер буквально попередив про небезпеку. Після переходу на HTTPS попередження зникло. Окремий кейс — mixed content: сайт перейшов на HTTPS, але деякі зображення або скрипти ще вантажаться по HTTP. Браузер або блокує їх (активний mixed content: JS, CSS), або показує попередження (пасивний: картинки). Результат — сторінка виглядає зламаною або небезпечною, хоча HTTPS вже є.


HTTP vs HTTPS

HTTPHTTPS
ШифруванняНемаєTLS (AES + асиметричний обмін ключем)
Chrome«Not secure»Замок / нейтральний індикатор
РанжуванняПрограєРівні умови (+ легкий плюс)
HTTP/2НіТак

Повʼязані терміни

  • Core Web Vitals — метрики швидкості і стабільності, разом із HTTPS формують Page Experience
  • DNS — система доменних імен, яка працює до встановлення TLS-з'єднання
  • Schema Markup — структуровані дані, які Google краще читає із захищених сторінок
  • Technical SEO — повний аудит технічного стану сайту, включаючи перевірку HTTPS, mixed content і HSTS

Якщо сайт досі на HTTP або ви підозрюєте mixed content після міграції — технічний SEO-аудит покаже точну картину і послідовність виправлень.

← Усі терміни