HTTPS — уже не фича. Это базовый уровень.
В 2026 любой сайт без SSL-сертификата говорит посетителю уйти — и браузер старательно это подчёркивает.
Пять лет назад продавать «сайт с SSL» ещё было аргументом для продажи. Зелёный замок. Фраза «ваш сайт защищён». Сегодня это минимум, который ожидают от профессионального сайта, и его отсутствие — это уже не техническая забывчивость, а признак небрежности.
Что делает браузер без HTTPS
Chrome, Safari, Firefox, Edge — все показывают «Небезопасно» в адресной строке любой HTTP-страницы. Формы с чувствительными полями блокируются или вызывают красные предупреждения. На мобильных предупреждение занимает весь экран до того, как пользователь сможет что-либо отправить.
С точки зрения покупателя: посетитель заходит, видит предупреждение, уходит. Продукт значения не имеет. Доверие рухнуло за три секунды.
Где HTTPS уже технически обязателен
Service Workers (PWA, offline-first) работают только по HTTPS. HTTP/2 и HTTP/3 — тоже. Геолокация, камера, микрофон, push-уведомления — все зависят от безопасного контекста. Современные веб-API в общем отказываются работать вне HTTPS.
На практике: любому минимально современному приложению нужен HTTPS просто чтобы запуститься.
Сколько это стоит
Ноль. Let's Encrypt выпускает бесплатные сертификаты с автообновлением почти десять лет. Cloudflare предлагает гибкий SSL также бесплатно. Любой серьёзный хостинг в 2026 ставит SSL одним кликом. Никаких отговорок про стоимость — и, честно говоря, никаких отговорок вообще.
Что проверить прямо сейчас
- Основной домен автоматически перенаправляет HTTP на HTTPS
- Все поддомены (www, app, admin) тоже принудительно HTTPS
- Сертификат валиден во всех браузерах и обновляется сам
- HSTS активен (заголовок Strict-Transport-Security)
- Нет mixed content — ресурсов, загружаемых через HTTP на странице HTTPS
Если какой-то из этих пунктов не выполнен, проблема не косметическая. Она операционная.