HTTPS-консистентность на всём сайте

Что это

HTTPS-консистентность — состояние, при котором абсолютно все ресурсы на сайте (страницы, изображения, скрипты, шрифты, iframe, ссылки) загружаются и отдаются исключительно по защищённому протоколу HTTPS. Смешанный контент (mixed content) возникает, когда HTTPS-страница подгружает хотя бы один ресурс по HTTP. Браузер блокирует такие ресурсы или помечает страницу как небезопасную, а поисковые роботы фиксируют дублирование и технические ошибки.

---

Почему это важно для SEO

Google с 2014 года использует HTTPS как сигнал ранжирования. Но дело не только в флаге "безопасный сайт" — дело в консистентности. Если робот Googlebot обходит страницу https://example.com/page и находит в ней ссылку на http://cdn.example.com/style.css, это mixed content. Chrome с версии 81 блокирует смешанные активные ресурсы (скрипты, стили) автоматически — пользователь видит сломанную страницу, растёт процент отказов, падают поведенческие факторы.

Для Яндекса ситуация не лучше. Яндекс.Браузер также блокирует небезопасный контент, а Яндекс.Вебмастер покажет предупреждения в разделе "Безопасность и нарушения". ИКС (Индекс Качества Сайта) учитывает поведенческие метрики — если пользователи уходят с "сломанной" страницы, это напрямую бьёт по ИКС. Отдельная история — Турбо-страницы: Яндекс не примет страницу в Турбо-кеш, если в разметке присутствуют HTTP-ссылки на ресурсы.

---

Как проверить вручную

1. DevTools браузера. Откройте страницу в Chrome, нажмите F12 → вкладка Console. Ищите предупреждения вида Mixed Content: The page at 'https://...' was loaded over HTTPS, but requested an insecure resource 'http://...'. Вкладка Network → фильтр по http:// в адресах ресурсов.

1. Screaming Frog SEO Spider. Configuration → Custom → Search. Добавьте regex src=["']http:// и href=["']http:// — краулер выделит все страницы, где в коде встречаются HTTP-ссылки на ресурсы. В отчёте "Response Codes" проверьте, нет ли внутренних ссылок с HTTP (301-редиректы не в счёт — важно, куда они ведут).

1. Google Search Console. Раздел "Безопасность и ручные меры" → "Проблемы безопасности". Если GSC зафиксировал mixed content на масштабе — он появится здесь. Для точечной проверки одной страницы — инструмент "Проверка URL" → смотрите, что индексируется.

1. Яндекс.Вебмастер. Раздел "Диагностика" → "Безопасность и нарушения". Там же проверьте раздел "Индексирование" — нет ли HTTP-версий страниц, которые Яндекс считает самостоятельными документами.

1. PageSpeed Insights и Lighthouse (вкладка в DevTools): в аудите "Best Practices" явно указывает на mixed content с перечислением проблемных ресурсов.

---

Как исправить

Шаг 1. Убедитесь, что HTTP → HTTPS редирект настроен на уровне сервера (301 для всех вариантов: с www, без www, по IP).

# Nginx
server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://example.com$request_uri;
}

Шаг 2. Добавьте заголовок Content-Security-Policy: upgrade-insecure-requests — браузер автоматически апгрейдит HTTP-запросы к ресурсам до HTTPS.

# Nginx — добавить в блок server (HTTPS)
add_header Content-Security-Policy "upgrade-insecure-requests";

# Apache — .htaccess
Header always set Content-Security-Policy "upgrade-insecure-requests"

Шаг 3. Исправьте жёстко прописанные HTTP-ссылки в базе данных и коде.

• WordPress: плагин "Better Search Replace" — найдите http://ваш-домен.ru и замените на https://ваш-домен.ru в таблицах wp_posts, wp_options, wp_postmeta. Дополнительно установите плагин Really Simple SSL.
• Tilda: Настройки сайта → SEO → убедитесь, что все внешние шрифты и скрипты подключены по HTTPS. Сторонние виджеты меняйте в настройках блока.
• 1C-Bitrix: Настройки → Настройки продукта → Основные настройки → Адрес сайта — обновите на https://. Дополнительно: define('SITE_SERVER_NAME', 'https://example.com'); в dbconn.php.
• Webflow: В Webflow все ресурсы платформы уже на HTTPS. Следите только за сторонними embed-кодами — вставляйте только с https://.

---

Типичные ошибки

1. Редирект есть, но внутренние ссылки остались HTTP. Сам сайт открывается по HTTPS, но в коде <a href="http://..."> — поисковик обходит обе версии и видит дубли.

1. Внешние скрипты и пиксели по HTTP. Пиксели ретаргетинга, счётчики, виджеты чатов — часто подключаются старым кодом через HTTP. Обновляйте код из источника.

1. Изображения в базе данных с абсолютными HTTP-путями. Особенно актуально для старых WordPress-сайтов, перенесённых на HTTPS: в <img src="http://..."> — изображения заблокированы или не загружаются.

1. CSS с `url('http://...')` для шрифтов или фоновых картинок. Не видно в HTML, но DevTools и Screaming Frog это поймают.

1. Канонические теги и sitemap с HTTP. <link rel="canonical" href="http://..."> сигнализирует поисковику, что основная версия — HTTP. Проверяйте sitemap.xml: все URL должны начинаться с https://.

---

Влияние на разные типы сайтов

Интернет-магазины несут двойной риск: mixed content на странице оформления заказа (HTTP-скрипт платёжной системы) вызывает блокировку браузера и брошенные корзины — прямые потери выручки. Яндекс.Маркет и Google Merchant Center при проверке фида тоже учитывают протокол страниц товаров.

Контентные сайты и медиа часто хранят годами накопленные изображения с абсолютными HTTP-путями в старых статьях — это тысячи URL с mixed content. Здесь критичен массовый поиск по базе данных и замена через SQL или специализированные плагины. SaaS-продукты и лендинги обычно технически чище, но уязвимы через сторонние интеграции: Intercom, Calendly, формы — всегда проверяйте embed-коды на протокол при подключении.