Почему важен SSL-сертификат даже для небольшого сайта

Что такое SSL/TLS простыми словами

SSL/TLS — это «шлюз безопасности» между браузером и сервером. Он шифрует трафик, чтобы посторонние не подсматривали, и защищает от подмены данных по дороге. Исторически говорили «SSL», но сегодня используется TLS 1.2/1.3. Термин «SSL-сертификат» просто прижился — по факту это TLS-сертификат.

HTTPS = шифрование + подлинность + целостность

  • Шифрование. Всё, что вводит пользователь (логин, e-mail, номер телефона), превращается в «бессмысленный шум» для любого, кто перехватит трафик. В TLS это делается так: при подключении стороны обмениваются ключами (асимметрично), а затем общаются быстрым симметричным шифром (обычно AES-GCM или ChaCha20-Poly1305).
  • Подлинность. Браузер проверяет, что сертификат выдан доверенным центром сертификации (CA) именно для этого домена. Так он убеждается, что перед ним не поддельный сервер. Это и есть цепочка доверия PKI.
  • Целостность. Никто не может незаметно изменить содержимое страницы или ответ API по пути — в TLS сообщения подписываются (AEAD), и любое «подправил байт» обнаружится.

Итог: HTTPS — это не просто «замочек», а сразу три гарантии в одном соединении.

Что видит пользователь: замок, https:// и отсутствие «Небезопасно»

  • В адресной строке появляется замочек и префикс https://. По клику на замок браузер покажет сведения о сертификате и домене.
  • На HTTP (без шифрования) современные браузеры честно пишут «Небезопасно» — и это бьёт по доверию и конверсии даже на простом лендинге с формой.
  • Важно: замок ≠ «сайт хороший». Он означает только, что соединение защищено. Фишинговый сайт тоже может иметь сертификат — проверяйте домен и здравый смысл.

Где проходят риски без HTTPS: публичный Wi-Fi, перехват, подмена контента

Без шифрования вы открыты для множества банальных, но болезненных сценариев:

  • Публичный Wi-Fi (кафе, аэропорт). Любой в той же сети может «подслушать» незашифрованный трафик (sniffing) или устроить man-in-the-middle — подменить ответы, внедрить скрипты, подсунуть форму входа.
  • Инъекции по пути. Провайдер, прокси или «злой» хот-спот могут вставлять рекламу, трекеры, менять ссылки, подменять файлы на скачивание. На HTTP это почти незаметно.
  • Угон сессии. Если куки без флага Secure и трафик не шифруется, токен авторизации можно перехватить и войти под вашей учёткой.
  • SSL-stripping. Когда пользователь сначала заходит на http:// (без «S»), атакующий может «задержать» редирект на HTTPS и оставить соединение незашифрованным. Лечится жёстким редиректом и HSTS.
  • Человеческий фактор. Люди видят «Небезопасно» и закрывают вкладку. Даже если вы не принимаете платежи, форма контактов — уже персональные данные.

Коротко: HTTPS — базовая гигиена. Он не делает сайт идеальным, но резко снижает бытовые риски и убирает красные флажки в браузере.

Почему это критично даже для «простых» сайтов

Форма контактов, подписка, логин — это уже персональные данные

Даже «визитка» собирает чувствительные данные: имя, e-mail, телефон, сообщения из формы, IP-адрес, cookie авторизации. На HTTP всё это идёт в открытом виде и может быть перехвачено в паре кликов — особенно в публичных Wi-Fi. HTTPS шифрует передачу, а вместе с ним корректно работают флаги Secure/SameSite для cookie, защищая сессии.
Плюс — многие сторонние сервисы (платёжные формы, OAuth, виджеты авторизации, рассылки) требуют HTTPS по умолчанию. Без него часть интеграций просто не заработает или будет работать нестабильно (блокировка браузером mixed content, ошибки перенаправлений и пр.).

Что сделать минимум:

  • перевести формы на https:// и принудительно редиректить с http:// (301 + HSTS);
  • убедиться, что все скрипты/изображения грузятся по HTTPS (никакого mixed content);
  • для авторизации и админки — cookie только с Secure и HttpOnly.

Доверие и конверсия: как одно предупреждение в адресной строке убивает заявки

Маркер “Небезопасно” в браузере — не просто техническая деталь, это триггер недоверия. Пользователь видит красный флаг → закрывает вкладку → вы теряете заявку. Даже если вы не принимаете платежи, отправка контактов через незашифрованную форму выглядит рискованно.
HTTPS меняет интерфейсную оптику: замок и https:// — базовые сигналы «здесь всё в порядке». Это повышает склонность оставлять контакты, оформлять заказ, вводить логин/пароль. Для малого бизнеса это часто разница между «лид пришёл» и «лид ушёл».

Практические мелочи, которые влияют на CR:

  • единый канонический HTTPS-домен (без дублей www/без www);
  • мгновенный редирект 301 с HTTP (без лишних «прыжков»);
  • отсутствие браузерных предупреждений (certificate valid, цепочка полная, нет mixed content).

SEO-фактор: при прочих равных Google/другие ранжируют HTTPS выше

HTTPS давно является лёгким положительным сигналом ранжирования. Он не заменит контент и ссылки, но при прочих равных даёт очко в пользу вашего URL. Плюс HTTPS открывает доступ к современному стеку: HTTP/2/3, приоритет загрузки, мультиплексирование — это помогает скорости (а скорость отражается на Core Web Vitals).
Есть и организационные плюсы для поиска:

  • Google рассматривает http:// и https:// как разные свойства. Миграция на HTTPS с корректными 301, каноникалами и обновлёнными sitemap делает индекс чистым и предсказуемым.
  • Сервисы типа Service Worker, PWA, геолокация, WebAuthn — работают только в secure context (то есть по HTTPS). Это расширяет UX-возможности, а не только «даёт замочек».

Итог простой: даже «маленькому» сайту HTTPS нужен не ради галочки. Он закрывает юридические и технические риски, убирает отпугивающие предупреждения, поддерживает конверсию и даёт аккуратное SEO-преимущество — ровно тот случай, когда базовая гигиена даёт ощутимую пользу.

Практическая выгода HTTPS

Доступ к HTTP/2 и HTTP/3, ускорение загрузки

HTTPS — это пропуск в современные протоколы передачи.

  • HTTP/2: один TCP-коннект вместо «зоопарка» соединений, мультиплексирование (несколько запросов параллельно), сжатие заголовков (HPACK), более умный приоритет загрузки. Итог — меньше блокировок, быстрее «доезжают» критические ресурсы (CSS/JS/шрифты).
  • HTTP/3 (QUIC/UDP): убирает «головную блокировку» TCP, лучше переживает потери пакетов и высокую задержку (мобайл, Wi-Fi), поддерживает 0-RTT для повторных визитов — быстрее устанавливается соединение.

На практике это даёт:

  • заметный выигрыш в первом рендере на нестабильных сетях;
  • меньшую чувствительность к джиттеру/потерям;
  • меньшую «цену» шифрования: TLS 1.3 + современные шифры работают быстро.

Примечание: протоколы — не серебряная пуля. Если TTFB высокий или бэкенд тяжелый, сначала оптимизируем сервер/БД/кэш, а уже затем ждём чудес от H2/H3.

Совместимость с современными фичами (Service Workers, PWA, геолокация, WebAuthn)

Многие «вкусные» возможности браузера работают только в защищённом контексте (т.е. по HTTPS):

  • Service Workers / PWA: офлайн-режим, кэширование на клиенте, «установка» сайта на домашний экран, пуш-уведомления (Web Push).
  • Геолокация, камера/микрофон, Bluetooth/WebUSB, доступ к сенсорам — всё это браузеры разрешают только по HTTPS.
  • WebAuthn / Passkeys: вход без пароля, аппаратные ключи (YubiKey) — также требуют безопасного контекста.
  • Современные API производительности (например, Reporting/COOP/COEP, частично) и политики безопасности (CSP, HSTS, Secure-cookie, SameSite) раскрываются на максимум именно при HTTPS.

Иначе говоря, если вам нужны «нативные» ощущения от веб-приложения, без HTTPS даже не начнёте.

Маркетинг и репутация: «мы заботимся о безопасности» без громких слов

Безопасность — это ещё и про восприятие бренда.

  • UI-сигналы в браузере: замок и https:// успокаивают. Метка «Небезопасно» — наоборот, бьёт по доверию и конверсии.
  • Соответствие ожиданиям: даже небольшой лендинг сегодня «должен» быть на HTTPS. Иначе возникает когнитивный диссонанс: если шифрование не настроили, как вы относитесь к данным клиента?
  • Партнёры/платежи/интеграции: почти все провайдеры оплат и OAuth-провайдеры требуют HTTPS в колбэках и виджетах. Отсутствие HTTPS = меньше интеграций и ограниченный функционал.
  • Юридика и политика компании: выполнение базовой гигиены (TLS 1.2/1.3, HSTS, корректные куки) — это простой аргумент в тендерах и чек-листах безопасности.

Мини-чек-лист, чтобы выгода проявилась сразу:

  1. включите HTTP/2 и HTTP/3 (если есть CDN — активируйте там; на сервере проверьте ALPN/TLS 1.3);
  2. добавьте 301-редирект на https:// + HSTS (сначала без preload, затем — после проверки);
  3. пройдитесь по mixed content, переключите ресурсы на HTTPS;
  4. используйте Brotli для статики, Secure/HttpOnly/SameSite для cookie;
  5. замерьте до/после: TTFB, LCP, INP, waterfall в DevTools — чтобы увидеть эффект в цифрах.

Итог: HTTPS — не «галочка для галочки». Это ускорение на реальных сетях, доступ к современным возможностям фронтенда и понятный сигнал доверия для людей и партнёров.

Виды SSL-сертификатов и как не запутаться

DV, OV, EV — в чём разница и когда что нужно

  • DV (Domain Validation) — проверяют только владение доменом (e-mail, DNS-запись или HTTP-файл).
    Когда брать: лендинги, блоги, тестовые окружения, обычные корпоративные сайты без жёстких комплаенсов.
    Плюсы: выпускаются за минуты, автоматизируются через ACME (Let’s Encrypt/ZeroSSL), дешёвые или бесплатные.
    Минусы: никакой проверки компании; с точки зрения «доверия к бренду» — минимум.
  • OV (Organization Validation) — CA проверяет и домен, и юридическое лицо (регистры, телефон, адрес).
    Когда брать: компании, которым важен формальный уровень доверия (B2B, гос-тендеры, банки-партнёры).
    Плюсы: отображение данных организации в сертификате, выше доверие у партнёров/служб безопасности.
    Минусы: выпуск дольше (от пары часов до нескольких дней), дороже; автоматизация ограничена.
  • EV (Extended Validation) — углублённая проверка компании и её представителей.
    Когда брать: узкие юридические/комплаенс-требования, «жёсткие» политики безопасности.
    Плюсы: максимальная формальная валидация.
    Минусы: дорого, долго, нет wildcard-EV; современные браузеры не показывают название компании в адресной строке как «зелёную плашку» (историческая фича убрана), то есть визуальная «магия» минимальна.

Важно: по криптографии DV/OV/EV одинаково шифруют трафик. Разница — в уровне проверки владельца и юридической «бумажной» ценности.

Single-domain, Wildcard, SAN (Multi-Domain)

  • Single-domain — защищает ровно один FQDN: example.com или www.example.com. Если нужны оба, берите SAN или выпуск с двумя именами.
  • Wildcard — формат *.example.com; покрывает один уровень поддоменов: a.example.com, b.example.com. Не покрывает a.b.example.com. Обычно есть и имя без звёздочки как отдельная запись.
    Нет EV-wildcard — только DV/OV.
  • SAN / Multi-Domain — один сертификат на несколько разных имён (даже разных доменов): example.com, www.example.com, shop.example.net и т.п. Удобно для микросервисов/мульти-регионов/брендов.

Практика выбора:

  • Один сайт — Single-domain.
  • Много поддоменов на одном домене — Wildcard.
  • Разные домены/субдомены в одном проекте — SAN (Multi-Domain).
    Комбинировать можно: SAN-сертификат, в который включён и wildcard-домен.

Бесплатные (Let’s Encrypt) vs платные: что реально покупаете

Бесплатные (Let’s Encrypt, ZeroSSL DV):

  • ACME-автоматизация (certbot, acme.sh, встроено в панели/CDN).
  • Срок действия до 90 дней → авто-продление обязательно.
  • Отлично для большинства сайтов и API, где не требуется проверка организации.
  • Нет расширенной поддержки/страховых «warranty», нет OV/EV.

Платные (DV/OV/EV у коммерческих CA):

  • OV/EV-валидация (юридическая проверка компании), иногда — приоритетная поддержка.
  • Долгосрочные подписки: фактически сертификаты всё равно живут ~398 дней (≈13 месяцев) по требованиям браузеров, но у вендора можно оформить «мульти-год» как удобство продлений.
  • Опции: Wildcard-DV/OV, SAN c десятками имён, видимые site-seal/отчёты, SLA-поддержка.
  • Больше бумажной ценности для тендеров/аудитов/партнёров; по скорости сайта и шифрованию преимуществ нет.

Что ещё учитывать (тонкие моменты):

  • Цепочка сертификатов: ставьте промежуточные CA, иначе будут предупреждения у части клиентов.
  • CAA-запись в DNS: ограничивает, какие CA могут выпускать сертификаты для вашего домена (помогает контролю безопасности).
  • Ключи и алгоритмы: 2048-бит RSA или ECDSA P-256/P-384; ECDSA быстрее, но требует совместимости клиентов.
  • HSTS и редиректы: включайте после успешной миграции, чтобы избежать «запирания» в случае ошибки.
  • Wildcard-DV у Let’s Encrypt требует DNS-01 (заведение TXT-записей), HTTP-01 для wildcard не работает.
  • EV не бывает wildcard, а автоматическая выдача OV/EV через ACME поддерживается не у всех CA.

Краткий чек-лист выбора

  1. Нужен просто HTTPS и автоматизация → DV (Let’s Encrypt/ZeroSSL).
  2. Требуют «бумаги»/проверку юрлица → OV.
  3. Жёсткие комплаенсы/тендеры → EV (понимая, что «зелёной строки» уже нет).
  4. Много поддоменов → Wildcard; много разных имён → SAN; сочетание поддоменов и имён → SAN + Wildcard.

И да: как бы ни назывался сертификат, скорость и безопасность соединения определяет не «класс», а TLS 1.3, правильные шифры, HTTP/2/3, грамотная настройка и отсутствие mixed content.

Проверка и мониторинг

Где тестировать: SSL Labs, Hardenize, Security Headers, браузерные DevTools

SSL Labs (Server Test)

  1. Откройте «SSL Labs Server Test».
  2. Введите домен и дождитесь отчёта.
  3. Оценка A/A+ — ок, ниже A — есть что поправить.
  4. Проверьте строки: поддержка TLS 1.2/1.3, корректная «цепочка сертификата», включён ли
  5. OCSP Stapling, нет ли уязвимых шифров.

Hardenize

  • Даёт «дашборд гигиены»: TLS, DNS, почтовые записи, HSTS, редиректы.
  • Удобно для периодических проверок (например, раз в квартал).

SecurityHeaders / Mozilla Observatory

  • Введите домен и посмотрите, есть ли базовые заголовки безопасности: HSTS, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, CSP.
  • Если видите низкую оценку — в панели/конфиге надо включить соответствующие опции (ниже — где именно).

Браузерные DevTools (без кода)

  • В Chrome/Edge: нажмите на «замок» в адресной строке → «Connection is secure» → детали сертификата.
  • Откройте инструменты разработчика (F12) → вкладки Security / Issues / Network:
    • Убедитесь, что страница грузится по h2 или h3 (HTTP/2/3).
    • Проверьте, нет ли «Mixed content» (заблокированных http-ресурсов).
  • Любой «проверщик редиректов» (например, httpstatus.io): проверьте, что при заходе на http сразу идёт один 301 на https, без «лесенки».

Мониторинг истечения срока: алерты, автообновление, расписание

Цель: чтобы сертификат продлевался сам, а вы заранее получали уведомления, если что-то пошло не так.

Автопродление в панелях

cPanel/WHM: раздел «SSL/TLS Status» → включите AutoSSL. Проверьте «Contact Information», чтобы письма об ошибках приходили на ваш e-mail.

DirectAdmin: «SSL Certificates» → «Let’s Encrypt» → отметьте домены → включите «Force SSL with https redirect» и «Automatic renew».

Plesk: расширение «Let’s Encrypt» / «SSL It!» → включите автообновление и опцию «Keep website secured».

Внешние алерты (на случай, если автопродление сорвётся)

  1. Подключите бесплатный мониторинг SSL-истечения: UptimeRobot / Better Uptime / StatusCake.
  2. Настройте триггеры за 30/14/7/3 дня до окончания.
  3. Проверьте, что письма реально доходят (иногда попадают в спам).

Резервные напоминания

  • Добавьте дату истечения в календарь (Google/Outlook) с напоминаниями за 30/7/3 дня.
  • Убедитесь, что CA-письма (Let’s Encrypt / ZeroSSL / коммерческий CA) приходят на «живой» почтовый ящик.

Типичные причины сбоев автообновления (что проверить, если пришёл «аларм»):

  • Домен больше не указывает на сервер (сменили DNS/хостинг).
  • Закрыт внешний доступ по HTTP/HTTPS (файрволл или включили жёсткий режим в CDN).
  • Для wildcard-сертификата не обновились TXT-записи в DNS (если используется DNS-подтверждение).
  • Сломались права/пути к файлам сертификата после обновлений панели.

Политики безопасности: HSTS, OCSP Stapling, 301-редирект, preload-лист (без кода)

Принудительный редирект на HTTPS (301)

cPanel: «Domains» → включите «Force HTTPS Redirect».

DirectAdmin: в настройках Let’s Encrypt отметьте «Force SSL with https redirect».

Plesk: «Hosting Settings» → включите «Permanent SEO-safe 301 redirect from HTTP to HTTPS».

Проверьте любым онлайн-инструментом редиректов, что редирект одинарный и сразу на канонический домен (с www или без — выберите единую версию).

HSTS (HTTP Strict Transport Security)

Смысл: браузер сам будет ходить только по HTTPS и не допустит «возврата» на HTTP.

Где включить: в ряде панелей есть переключатель HSTS в настройках домена/безопасности (в Plesk — в SSL It!, у хостеров — отдельный тумблер).

Включайте после успешной миграции: сначала без «preload». Убедитесь, что все поддомены тоже на HTTPS.

Preload-лист

Когда уверены на 100% (всё и везде по HTTPS): проверьте домен на hstspreload.org.

Требования: длительный max-age, includeSubDomains, стабильный 301, валидный сертификат. Если не уверены — не торопитесь с preload.

OCSP Stapling

Проверить можно в отчёте SSL Labs: если «Stapling: yes» — отлично.

Включение зависит от хостинга/CDN: часто активируется автоматически; если нет — спросите у техподдержки, где включить в панели. Это ускоряет первичную проверку сертификата у посетителей.

Как закрепить результат

  1. Повторяйте аудит в SSL Labs и SecurityHeaders после изменений или раз в квартал.
  2. Держите включёнными алерты истечения сертификата.
  3. Проверяйте, что редирект остаётся одинарным (после правок в CMS/плагинах это часто «ломают»).
  4. Следите в браузерных DevTools за «Protocol» (h2/h3) и отсутствием mixed content.

Так вы контролируете безопасность и производительность без единой команды в консоли — только через панели и понятные онлайн-проверки.

С ценой и поддержкой всё просто

Сколько стоит «ноль» ($0) и когда он уместен

Бесплатный DV-сертификат — нормальный выбор для подавляющего большинства сайтов и API.

Что это: автоматический выпуск по ACME (Let’s Encrypt/ZeroSSL) с автопродлением каждые ~90 дней.

Когда подходит: лендинги, блоги, корпоративные страницы, личные кабинеты без жёстких комплаенсов, прототипы, микросервисы.

Что вы получаете: такой же уровень шифрования, как у платных, доступ к HTTP/2/3, снятие метки «Небезопасно», соответствие требованиям большинства интеграций (платежи, OAuth, виджеты).

Ограничения: нет проверки организации (только домена), нет приоритетной поддержки от вендора, нет «бумажной» ценности для тендеров/аудитов.

Когда оправдан платный вариант (поддержка, гарантия, валидация организации)

Платные сертификаты нужны не для «лучшего шифрования», а для процессов вокруг безопасности и комплаенса.

  • OV/EV-валидация: формальная проверка компании, которая нужна в B2B, гос-тендерах, при жёстких процедурах у партнёров/банков.
  • Поддержка и SLA: у коммерческих CA есть человек/канал, куда эскалировать нетиповые кейсы (сложная цепочка, экзотические клиенты, региональные ограничения).
  • Гибкая номенклатура: крупным проектам удобны платные Wildcard/SAN-сертификаты с десятками имён в одном выпуске и удобным управлением.
  • Юридические ожидания: в некоторых индустриях «платный OV/EV» — понятный для аудиторов маркер ответственности; иногда без него процесс просто не пройдёт.
    Важно помнить: фактический срок действия браузерно ограничен ~13 месяцами (≈398 дней), «многолетние» подписки — это удобный пакет с пере-выпусками, а не «вечный» сертификат.

Итоговая стоимость владения: сертификат, время на установку, сопровождение

TCO складывается не только из цены на сайте CA. В расчёт входят работы и риски.

  • Единовременные работы: выпуск, интеграция в панель/сервер/CDN, настройка редиректов, HSTS, вычищение mixed content, обновление sitemap/каноникалов.
  • Операционные затраты: автопродление, контроль истечения, алерты, реакция на сбои (например, внезапно закрыли порт 80, не обновился TXT для wildcard).
  • Человеческое время: даже «бесплатный» сертификат не бесплатен, если каждые три месяца кто-то вручную спасает продление. Автоматизация резко снижает TCO.
  • Косвенные риски: просрочка сертификата = простой, потери заявок/продаж, репутационные издержки. Это легко перекрывает экономию на лицензии.
  • Инфраструктура вокруг: иногда провайдер берёт плату за «управляемый SSL», дополнительные IP (редко нужно благодаря SNI), премиум-поддержку или расширенный Anycast DNS.

Примерно так это выглядит на практике:

  • Малый сайт: DV $0 + 1–2 часа разовой настройки и автопродление = минимальный чек и стабильная работа.
  • B2B/финтех: OV/EV (платно) + регламенты, контакты для эскалации, единые SAN/Wildcard для множества поддоменов = выше цена, но ниже организационные риски и меньше «трения» с безопасностью партнёров.

Коротко: начинайте с DV и автоматизации — это закрывает 90% кейсов. Если упираетесь в требования юридического отдела или партнёров, добавляйте OV/EV и платную поддержку. Так вы платите не за «замочек», а за предсказуемость процессов и снижение операционных рисков.

Коротко для владельца малого сайта — что делать прямо сейчас

Выбрать DV-сертификат (Let’s Encrypt) и включить авто-продление

Поставьте DV-сертификат через панель хостинга (Let’s Encrypt/ZeroSSL).

Убедитесь, что включено автопродление и есть рабочий e-mail для уведомлений об ошибках.

Если есть поддомены — заранее решите, нужен ли Wildcard (*.example.com) или достаточно отдельных имён.

Включить HTTP/2/3, настроить 301 и HSTS, проверить mixed content

В панели или у CDN активируйте HTTP/2 и (если доступно) HTTP/3.

Включите постоянный 301-редирект с http:// на https:// (и определите канонику: с www или без).

Добавьте HSTS после проверки, что всё работает по HTTPS (сначала без preload).

Пройдитесь по сайту и уберите mixed content: все картинки, стили, скрипты — только по https://.

Пробежать чек-лист: SEO, аналитика, формы, интеграции — всё ли на HTTPS

SEO: обновите sitemap.xml и robots.txt на HTTPS-URL, проверьте canonical и hreflang.

Аналитика и пиксели: замените все трекеры/скрипты на HTTPS-версии.

Формы и личный кабинет: куки с флагами Secure/HttpOnly/SameSite, страницы входа — только по HTTPS.

Интеграции: обновите OAuth-редиректы, webhooks, платежные callback-URL и URL-адреса в e-mail-шаблонах.

Мониторинг: подключите оповещения об истечении сертификата и периодически гоняйте сайт через SSL Labs и SecurityHeaders.

Вывод

HTTPS — базовый стандарт, а не «фича для больших»

Шифрование трафика, подлинность сайта и целостность данных — это минимальная гигиена любого проекта. Даже простому лендингу HTTPS даёт доступ к современным веб-возможностям и убирает тревожные предупреждения в браузере.

Меньше рисков, больше доверия и чуть быстрее сайт — аргументы, которые работают

HTTPS снижает повседневные риски (перехват, подмена, угон сессии), повышает доверие и конверсию, а с HTTP/2/3 ещё и ускоряет загрузку. Начните с DV + автопродление, почистите mixed content, проверьте SEO и интеграции — и у вас уже «правильная» база без лишней возни.