Представьте: вы несколько месяцев допиливали сайт. Чистили техничку, переписывали тексты под интент, выпрашивали у клиентов отзывы, наконец-то вышли в топ-10 по нужным запросам. Всё работает, заявки идут, аналитика радует. А потом в одно прекрасное утро вы открываете Метрику — и видите красивый обрыв вниз. Трафик упал в несколько раз. Поведенческие просели. Позиции улетели на третью страницу.
Первая мысль — апдейт алгоритма. Вторая — конкуренты что-то сделали. Третья — бан. А реальная причина банальна до зубовного скрежета: у сайта просрочился SSL-сертификат. Мелочь, на которую обычно никто не смотрит, пока она не превращает зелёный замочек в красный экран с надписью «Подключение не защищено».
Разберёмся, почему один забытый сертификат способен за неделю съесть результат годовой SEO-работы — и как этого избежать.
Что такое SSL-сертификат и зачем он вообще нужен
Если совсем по-простому, SSL (а точнее уже давно TLS, но по привычке все говорят «SSL») — это маленький файл на сервере, который делает две вещи: подтверждает, что сайт действительно принадлежит конкретному домену, и шифрует трафик между браузером пользователя и сервером. Без него любые данные — пароли, номера карт, содержимое форм — летят по сети открытым текстом, и при желании их может перехватить кто угодно на пути от Wi-Fi роутера в кафе до магистрального провайдера.
Технически выглядит это так: при заходе на сайт браузер и сервер устанавливают защищённое соединение через TLS-handshake, обмениваются ключами и дальше общаются на языке, который посторонним непонятен. Снаружи это видно по двум вещам — протокол HTTPS вместо HTTP в адресной строке и иконка замочка рядом с доменом.
Если сертификата нет (или он сломался), браузер честно предупреждает пользователя: «Этот сайт небезопасен», «Подключение не защищено», «Злоумышленники могут пытаться похитить ваши данные». Chrome красит экран в красный, Firefox — в жёлто-серый, но смысл везде одинаковый: «не ходи сюда».
Как это бьёт по поведению пользователей
Дальше начинается самое интересное. Среднестатистический посетитель не разработчик и не сеошник. Он не будет разбираться, какой именно сертификат просрочен и что значит ERR_CERT_DATE_INVALID. Он увидит большой красный экран, слово «опасно» — и нажмёт «назад». Точка.
Что происходит с метриками за следующие сутки:
- Показатель отказов уходит к 90–100%, потому что человек физически не попадает на сайт.
- Время на сайте обнуляется по той же причине.
- Глубина просмотра — ровно одна страница, и та толком не загружается.
- Конверсии падают в ноль: формы не работают, корзина недоступна, оплата невозможна.
Поисковики читают эти сигналы в реальном времени. Для алгоритма это выглядит так: на сайт массово заходят люди, мгновенно его покидают, обратно не возвращаются и ничего не делают. Вывод напрашивается сам — сайт перестал быть полезным. И поисковая система начинает аккуратно понижать его в выдаче, освобождая место тем, у кого с поведенческими всё в порядке.
Прямое влияние на SEO-ранжирование
Здесь важно разделять две вещи: косвенное влияние через поведенческие, о котором мы только что говорили, и прямое — когда сам факт наличия HTTPS является фактором ранжирования.
Google официально объявил HTTPS фактором ранжирования ещё в августе 2014 года. Сначала влияние было «лёгким тай-брейкером» — то есть при прочих равных сайт с HTTPS получал небольшое преимущество. С тех пор вес фактора рос, а в 2018 году Chrome начал явно помечать любые HTTP-страницы как небезопасные. Сегодня сайт без рабочего SSL в Google — это, по сути, сайт без половины шансов на нормальную выдачу.
Яндекс формально не делал таких громких заявлений, но безопасность сайта он тоже учитывает. В Вебмастере есть отдельный раздел «Безопасность и нарушения», и проблемы с сертификатом туда прилетают мгновенно. Плюс Яндекс.Браузер так же, как и Chrome, показывает предупреждение, и поведенческие летят по тому же сценарию.
Ещё один неочевидный момент — переезд с HTTP на HTTPS поисковик воспринимает как смену протокола, и при просрочке сертификата сайт по сути снова становится HTTP-ресурсом. Накопленный траст, который вы зарабатывали годами, в этот момент начинает течь.
Что происходит, когда сертификат истекает
У сертификатов есть срок жизни. Платные обычно выдаются на 1 год (раньше можно было купить на 2–3 года, но индустрия пришла к более коротким срокам ради безопасности). Бесплатные Let’s Encrypt живут всего 90 дней — предполагается, что их будут автоматически перевыпускать каждые два-три месяца.
Если момент перевыпуска пропущен, дальше события развиваются примерно так (сроки могут не совпадать, это как «повезет»):
- День 0 — сертификат истёк. Браузеры показывают предупреждение, часть пользователей разворачивается.
- Дни 1–3 — поисковые роботы пытаются проиндексировать страницы, получают ошибку TLS, помечают сайт как недоступный.
- Дни 3–7 — Search Console и Яндекс.Вебмастер начинают сыпать уведомлениями. В выдаче снижаются позиции по самым конкурентным запросам.
- Неделя 2 — заметное падение трафика. Часть страниц вылетает из индекса, потому что роботы считают их недоступными.
- Месяц — даже после починки сертификата восстановление позиций займёт ещё несколько недель: поисковикам нужно убедиться, что сайт снова стабильный.
То есть классическая ситуация «забыл продлить на выходных» легко превращается в месяц-полтора восстановительной работы. И всё это — из-за файла, который обновляется в один клик.
Виды SSL-сертификатов: что выбрать
Сертификаты различаются по двум осям: уровню валидации и типу покрытия доменов. По уровню валидации их обычно делят на три группы.
Domain Validation (DV)
Самый простой и распространённый тип. Удостоверяющий центр проверяет только то, что вы владеете доменом — обычно через подтверждение по email или специальный файл на сервере. Выдаётся за минуты. Сюда относится Let’s Encrypt — бесплатный, автоматизированный, поддерживается практически всеми хостингами. Для блогов, информационных сайтов, лендингов и большинства корпоративных сайтов этого достаточно с запасом.
Organization Validation (OV)
Удостоверяющий центр проверяет уже саму компанию: смотрит регистрационные данные, юридический адрес, иногда звонит. В сертификате прописывается название организации. Подходит интернет-магазинам среднего уровня, B2B-сервисам, сайтам компаний, для которых важно, чтобы пользователь видел «не просто домен, а легитимная фирма».
Extended Validation (EV)
Максимальный уровень проверки — с юристами, документами, проверкой подписантов. Раньше такие сертификаты подсвечивали в адресной строке зелёной плашкой с названием компании. Сейчас визуальное отличие почти исчезло, но для банков, платёжных систем, крупных магазинов EV всё ещё стандарт де-факто — больше как требование индустрии и инструмент против фишинга, чем фактор для пользователя.
Отдельно стоит упомянуть Wildcard-сертификаты (покрывают все поддомены *.site.ru) и SAN/Multi-Domain (покрывают несколько доменов одним файлом). Их выбирают, когда у проекта много субдоменов или несколько связанных сайтов.
Вердикт простой: если у вас не интернет-магазин, не финтех и не корпоративный портал — Let’s Encrypt закроет 95% задач. Если магазин или работа с платёжными данными — берите минимум OV, лучше EV.
Как не допустить просрочки
Хорошая новость: проблема просроченных сертификатов давно решена технически — её просто игнорируют люди. Чтобы сертификат не превратился в тыкву в самый неудачный момент, достаточно настроить три вещи.
1. Автообновление
Большинство современных хостингов (Beget, Timeweb, Reg.ru, FirstVDS и другие) умеют сами выпускать и продлевать Let’s Encrypt в один клик. Если у вас VPS — ставится certbot, прописывается одна строчка в cron, и дальше сертификат обновляется сам каждые 60–80 дней. Один раз настроил — и забыл.
2. Мониторинг и напоминания
Никакая автоматизация не отменяет контроля. Полезно подключить хотя бы один из внешних мониторингов: UptimeRobot, StatusCake, SSLMate, Cert Spotter. Они присылают письма за 30, 14 и 7 дней до истечения.
Для совсем перестраховщиков — добавьте себе событие в календарь за две недели до даты Х. Мы в WEBVESTA начинаем предупреждать своих клиентов о сроках продления SSL за 1,5 месяца (не чаще раза в 2 недели).
3. Регулярная проверка
Раз в месяц-два полезно открыть свой сайт, кликнуть на замочек в адресной строке и посмотреть, до какого числа сертификат действует и кем он выдан. Заодно можно прогнать домен через SSL Labs (ssllabs.com/ssltest) — он проверит не только срок, но и качество настройки шифров, наличие современных протоколов, цепочку доверия. Цель — оценка A или A+.
Отдельно стоит добавить проверку SSL в стандартный SEO-аудит. Если вы аудитите чужие проекты или ведёте несколько своих, состояние сертификата — такой же базовый пункт, как наличие robots.txt или sitemap.xml.
Заключение
SSL-сертификат — штука немного парадоксальная. Когда он есть и работает, его не замечает никто: ни пользователи, ни вы, ни даже поисковики. Это как страховка или резервные копии — пока всё хорошо, кажется, что и без них прекрасно. Но один пропущенный платёж, одно сломанное автообновление, один перенесённый сервер без переноса конфигов — и за пару недель можно потерять то, что зарабатывалось месяцами.
Самое обидное в этой истории — что чинится она элементарно. Настроить автообновление, повесить мониторинг и поставить себе календарное напоминание — это работа на полчаса. А цена ошибки — месяцы упавшего трафика, недополученные заявки и нервная переписка с клиентом, если сайт чужой.
Так что закройте эту статью, откройте свой сайт, кликните на замочек и посмотрите, что там со сроком действия. Прямо сейчас. Серьёзно.