Как установить SSL-сертификат на сайт

Когда SSL становится срочной необходимостью: два реальных сценария

Первая ситуация — вы запускаете интернет-магазин на WooCommerce. Без HTTPS браузеры (Chrome 94+, Safari 15+) блокируют форму оплаты и корзину, показывая предупреждение «Не защищено». Вторая — вы переносите сайт на новый сервер и забываете перевыпустить сертификат. Через три часа после смены DNS Google Search Console фиксирует падение индексации на 40%, а посетители видят ошибку SEC_ERROR_EXPIRED_CERTIFICATE. В обоих случаях теряются заказы и позиции в выдаче — альтернатив нет.

Шаг 1. Выбор типа сертификата: отталкивайтесь от протокола и бюджета

На практике 90% владельцев сайтов выбирают между двумя вариантами. Let's Encrypt (DV) — бесплатно, срок действия 90 дней, автоматическое продление через cron. Подходит для лендингов, блогов, корпоративных сайтов без авторизации. Проверка домена занимает 3–5 минут через DNS-запись или HTTP-файл. Платный DV-сертификат за 1 500–3 000 ₽ в год — срок 1–2 года, гарантия до 500 000 $, ручная валидация занимает от 20 минут до 2 часов. Выбирается, если хостинг не поддерживает автоматическое продление Let's Encrypt или нужен запасной домен в SAN.

Когда нужен Wildcard (*.domen.ru) — цена стартует от 5 000 ₽ в год. Купить стоит, если у вас более 5 поддоменов, иначе экономия исчезает: каждый лишний поддомен в SAN платного сертификата стоит около 400 ₽.

Шаг 2. Установка на типовом хостинге (cPanel, DirectAdmin, ISPmanager)

1. Генерация CSR-ключа. В панели хостинга заходите в раздел SSL/TLS. Выбираете домен, указываете данные компании (если OV-сертификат). Вводите ключ — через OpenSSL: openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr. Без CSR платный центр сертификации сертификат не выпустит.
2. Покупка и валидация. Вводите CSR в форму регистратора (например, Reg.ru, R01). Выбираете метод проверки: email на admin@domain или DNS-запись. Запись CNAME или TXT создаётся в панели управления DNS. Ждёте 10–30 минут до проверки.
3. Установка цепочки. Выданный сертификат (файл .crt) и промежуточный (CA bundle) загружаете в раздел SSL/TLS хостинга. В cPanel это поле «Paste certificate». Обязательно вставляете закрытый ключ — без него связка не соберётся.
4. Тест. Переходите на https://yourdomain — должен появиться зелёный замок. Дополнительно прогоняете через SSL Labs: оценка A или A+.

Шаг 3. Установка на VPS или выделенном сервере (Nginx + Certbot)

На своём сервере без панели управления процесс другой. На примере Ubuntu 22.04 и Nginx:

1. Установите Certbot: sudo apt install certbot python3-certbot-nginx.
2. Запустите получение сертификата: sudo certbot --nginx -d vashe.domen.ru -d www.vashe.domen.ru.
3. Certbot автоматически вписывает в конфигурацию Nginx строку ssl_certificate /etc/letsencrypt/live/vashe.domen.ru/fullchain.pem. Проверьте, что ssl_protocols TLSv1.2 TLSv1.3; включены. Полная настройка занимает 3–5 минут, включая тест.
4. Продление настройте через systemd timer: sudo certbot renew --dry-run. Если ошибка — проверьте, открыт ли порт 80 для автоматической проверки.

Типичные ошибки при установке и как их избежать

Ошибка 1. Сертификат установлен, но на сайте смешанный контент (Mixed Content). В исходном коде страницы остались ссылки на http:// (картинки, скрипты, CSS). Решение: плагин для WordPress «Really Simple SSL» автоматически заменяет все http на https. Для самописного сайта — Find & Replace в базе данных: замените `http://вашсайт.ru` на `https://вашсайт.ru`.

Ошибка 2. Истёк сертификат Let's Encrypt, а cron не сработал. Причина — хостинг блокирует порт 80 для внешних запросов от Certbot. Решение: проверьте в панели хостинга наличие задачи Cron для команды certbot renew. Замените метод проверки на DNS-01 через API, если хостинг не поддерживает HTTP-01.

Ошибка 3. Wildcard-сертификат не распознаёт поддомены. Частая ситуация — купили Wildcard, но забыли, что он работает только для *.domain.ru, а не для domain.ru (без звездочки). Решение: добавлять в SAN и корневой домен отдельно. При покупке уточняйте у регистратора, входит ли основной домен в стоимость.

Бюджет и сроки: реальные цифры на 2026 год

• Let's Encrypt — 0 ₽, но каждые 90 дней + настройка автоматизации 30–60 минут.
• Платный DV (PositiveSSL) — 1 500–2 000 ₽ в год. Срок выпуска — от 30 минут до нескольких часов при ручной проверке.
• Платный Wildcard (Comodo, Sectigo) — 4 500–6 000 ₽ в год. Валидация до 1 рабочего дня, если домен новый.
• OV-сертификат (с проверкой юрлица) — 8 000–12 000 ₽ в год. Нужен для интернет-магазинов с оборотом > 100 000 ₽ в месяц. Ожидание — 1–3 дня.
• EV-сертификат (зелёная строка) — 15 000–25 000 ₽ в год. В 2026 году почти не используется — браузеры скрывают зелёную строку, но терять деньги на такой проверке имеет смысл для банковских порталов.

Как проверить корректную установку без технической поддержки

Перейдите на страницу https://вашсайт.ru — в адресной строке должен отображаться замок без ошибок. Откройте инструменты разработчика (F12) → вкладка Security → проверьте PGP-сертификат. Там указывается издатель, срок действия и имя домена. Если имя домена не совпадает или стоит «Недействительный» — сертификат не привязан к текущему домену. Ещё один быстрый тест: curl -I https://вашсайт.ru. Если в ответе есть строка `SSL certificate verify ok` — всё работает.

Добавлено: 07.05.2026