Як прострочений SSL-сертифікат викинув твій магазин з Google за 48 годин

Магазин офісного обладнання в Порту втратив 78% органічного трафіку між середою та п'ятницею. Сайту ніхто не торкався вже тижнями. Проблема вміщалася в один рядок логу: SSL-сертифікат сплив о 03:14 у середу.

Коли Googlebot повернувся на сайт того ранку, він зустрів ERR_CERT_DATE_INVALID. Не проіндексував нічого. Гірше — позначив домен як небезпечний для користувачів, що клікали на ще закешовані результати. За 48 годин Chrome показував червоний попереджувальний екран замість домашньої сторінки.

Чому Google реагує так жорстко

З 2014 року HTTPS є сигналом ранжування. З 2018 року Chrome позначає HTTP як «небезпечний». Прострочений сертифікат гірший за HTTP — це зламаний HTTPS. Браузер інтерпретує це як спробу імперсонації, навіть якщо насправді просто acme.sh не зміг оновити.

Googlebot трактує невдалий TLS handshake як помилку сканування. Повторює спробу, провалюється, повторює, провалюється. За кілька годин починає деіндексувати. Сторінки не зникають з індексу одразу, але втрачають позиції, бо сигнал довіри впав до нуля.

Що сталося на практиці

1. 03:14 середа — сертифікат Let's Encrypt спливає. Cron оновлення провалився тричі за попередні 30 днів. Жоден email ніхто не побачив.
2. 08:00 середа — перші користувачі на мобільному бачать червоне попередження. Bounce rate стрибає вгору.
3. 11:30 середа — Googlebot заходить, провалює handshake, масово реєструє soft 404.
4. Четвер вранці — Search Console надсилає сповіщення про «покриття». Search Console ніхто не відкриває.
5. П'ятниця 09:00 — продажі стали. Клієнт телефонує програмісту. Програміст знаходить проблему за чотири хвилини.

Саме оновлення зайняло 90 секунд. Відновлення позицій зайняло 23 дні. За цей час конкурент захопив перші місця по головних ключових словах і вже ніколи їх повністю не віддав.

Чому cron провалився

Сервер змінив IP у січні. DNS вказував правильно, але HTTP-01 challenge від Let's Encrypt натикався на новий firewall, що блокував запити з діапазону ISRG. Кожна спроба оновлення записувала помилку в лог, який ніхто не читав.

Це типова картина. Сертифікат спливає не тому, що його важко оновити. Спливає тому, що автоматичне оновлення провалюється мовчки і ніхто не має сповіщень, спрямованих на потрібні логи.

Що треба зробити сьогодні

• Зовнішній моніторинг сертифіката, а не cron. Використовуй сервіс типу UptimeRobot або StatusCake, налаштований сповіщати за 14 днів до закінчення.
• Сповіщення в Telegram або SMS, а не email. Попереджувальні листи Let's Encrypt летять у скриньку, куди ніхто не заглядає.
• Перевіряй Search Console щотижня. Якщо Googlebot провалюється, це там написано.
• Тестуй оновлення вручну раз на квартал. Якщо cron працює в production, але не в staging, у тебе drift конфігурації.
• Задокументуй процедуру екстреного оновлення. Коли сайт падає у п'ятницю о 18:00, не час вчити acme.sh.

Прострочений сертифікат — це найдешевший спосіб втратити шість місяців SEO. Запобігти коштує нуль євро, відновити — три зарплати.— Внутрішній аудит після інциденту, клієнт з Порту

Реальна вартість

Магазин виторгував на 31 тисячу євро менше того місяця проти середнього кварталу. Програміст, що налаштував сервер, взяв 180 євро за виправлення. Запобігання коштувало б нуль — додатковий cron job для health check і webhook у Telegram.

Якщо ти продаєш онлайн в Україні і досі не маєш незалежного моніторингу власного сервера, що стежить за сертифікатом, ти за одне провалене оновлення від втрати кварталу. Це не алармізм. Це арифметика.

Правило просте. Не довіряй cron, що оновлює. Довіряй зовнішньому монітору, який перевіряє, що cron оновив.