HTTPS / TLS

HTTPS / TLS · TLS · SSL · HTTPS · шифрование транспорта

Определение

HTTPS — HTTP с шифрованием через TLS; обеспечивает конфиденциальность и целостность данных между браузером и сервером, обязателен для любого интернет-магазина и передачи API-токенов.

HTTPS = HTTP + TLS

TLS (Transport Layer Security) — криптографический протокол, создающий зашифрованный канал между клиентом (браузером) и сервером. Три основные гарантии:

Конфиденциальность — данные зашифрованы, перехваченный трафик нечитаем
Целостность — данные не могут быть изменены в пути без обнаружения
Аутентификация — сертификат подтверждает, что сервер — именно тот, за кого себя выдаёт

TLS-рукопожатие происходит при каждом новом соединении: обмен сертификатами, согласование алгоритмов, генерация сессионных ключей. После этого весь трафик шифруется симметричными ключами сессии.

TLS 1.2 vs TLS 1.3

Параметр	TLS 1.2	TLS 1.3
RTT для установки соединения	2 RTT	1 RTT (или 0-RTT для resumption)
Набор cipher suites	Широкий, включая устаревшие	Только современные, безопасные
Поддержка браузерами	Все актуальные	Все актуальные с 2019 года

TLS 1.3 быстрее и безопаснее — рекомендуется как минимальная версия для новых развёртываний. TLS 1.0 и 1.1 устарели и отключены в большинстве браузеров.

Практические требования для e-commerce

Сертификаты

Let’s Encrypt — бесплатные сертификаты с автоматическим обновлением (Certbot), покрывают большинство задач
Wildcard (*.example.com) — для покрытия всех поддоменов одним сертификатом
EV (Extended Validation) — для крупных магазинов, отображает название компании в строке браузера (в Chrome скрыто с 2019, но поддерживается в других браузерах)
Срок до истечения: отслеживайте автоматически — просроченный сертификат блокирует доступ к сайту

Mixed content — самые частые источники

<!-- Плохо — загрузка по HTTP на HTTPS-сайте -->
<img src="http://cdn.example.com/image.jpg">
<script src="http://analytics.example.com/tag.js"></script>

<!-- Хорошо — протокол-независимый URL -->
<img src="//cdn.example.com/image.jpg">

<!-- Хорошо — явный HTTPS -->
<img src="https://cdn.example.com/image.jpg">

API и персонализация

Все запросы к внешним API (платформы персонализации, аналитики, поиска) должны идти по HTTPS. Особенно критично для:
— Передачи API-ключей и токенов авторизации
— Событийных данных (просмотры, добавления в корзину, покупки)
— A/B тестирования — данные о принадлежности пользователя к группе

Важно: никогда не передавайте API-ключи и токены в URL-параметрах — они сохраняются в логах серверов, браузерной истории и Referrer-заголовках. Только заголовки Authorization или X-API-Key по HTTPS.

Частые вопросы

В чём разница между SSL и TLS?

SSL (Secure Sockets Layer) — устаревший протокол, который давно выведен из поддержки (SSL 2.0, 3.0 — уязвимы). TLS (Transport Layer Security) — его преемник: актуальные версии TLS 1.2 и TLS 1.3. Когда люди говорят «SSL-сертификат» или «SSL-соединение» в 2024 году — они имеют в виду TLS. Термин «SSL» остался бытовым, но протокол везде уже TLS.

Влияет ли HTTPS на SEO?

Да — Google с 2014 года использует HTTPS как прямой фактор ранжирования (ranking signal). На практике эффект небольшой, но значимый: все прочие факторы равны — HTTPS-сайт будет выше HTTP. Важнее другое: без HTTPS браузер показывает «Небезопасно», что снижает доверие и CTR.

Что такое mixed content и как это исправить?

Mixed content — когда HTTPS-страница загружает ресурсы (JS, CSS, изображения) по HTTP. Браузер блокирует активный mixed content (скрипты, iframe) и предупреждает о пассивном (изображения). Для исправления: заменить все src/href на HTTPS-версии, настроить заголовок Content-Security-Policy, использовать относительные URL без протокола (//example.com/...).

Нужен ли отдельный сертификат для API-домена платформы персонализации?

Платформы персонализации предоставляют API уже на HTTPS. Задача клиента — убедиться, что запросы к API идут по HTTPS (а не HTTP), и что токены/ключи передаются только в заголовках по зашифрованному каналу, не в URL-параметрах.

Gravity Field

Персонализация для e-commerce — на одной платформе

Gravity Field помогает онлайн-ритейлерам растить конверсию, средний чек и удержание за счёт персонализации на всех этапах пути покупателя — без перегрузки IT.

✦Товарные рекомендации и merchandising-правила

✦A/B-тесты с байесовской статистикой и автопилотом (MAB)

✦Персонализация контента, PLP и сегментация аудитории

✦AI Shopping Assistant с доказанным ростом выручки на визит

Запросить демо →