HTTP/2 и HSTS — базовые элементы скорости и безопасности современного сайта. Но «включить галочку» недостаточно: важны согласованные настройки TLS, корректные редиректы, заголовки и проверяемая конфигурация, чтобы браузер действительно работал по HTTP/2, а HTTPS был защищён от downgrade-сценариев.
Что именно настраиваем
- HTTP/2: проверяем, что протокол реально используется (ALPN), нет откатов на HTTP/1.1 и ошибок совместимости.
- HTTPS: наводим порядок в редиректах, цепочках 301/302, canonical и смешанном контенте.
- TLS: оптимизируем конфигурацию (актуальные версии протоколов и наборы шифров), устраняем слабые места.
- HSTS: включаем строго и безопасно (max-age, includeSubDomains), при необходимости готовим сайт к preload.
- Security Headers: добавляем/настраиваем набор заголовков безопасности под ваш проект.
Типовые проблемы, из-за которых «HTTP/2 включён», но пользы нет
- Браузер не договаривается по ALPN — в итоге остаётся HTTP/1.1.
- Лишние редиректы и цепочки перенаправлений увеличивают TTFB и задержку первой загрузки.
- HSTS выставлен «для галочки» — без includeSubDomains или со слишком маленьким сроком.
- Смешанный контент (HTTP-ресурсы на HTTPS-странице) ломает безопасность и доверие.
- Неполный набор security headers или конфликтующие настройки.
Как проходит работа
- Диагностика: проверяем протоколы, редиректы, TLS, заголовки, смешанный контент и конфликты конфигурации.
- План изменений: фиксируем список правок и порядок внедрения (чтобы не «уронить» сайт и SEO).
- Внедрение: настраиваем сервер/прокси (Apache/Nginx и т.п.), обновляем правила редиректов и заголовки.
- Контроль: повторная проверка и подтверждение результата по чек-листу.
- Отчёт: что было, что изменили, какие метрики/тесты подтверждают итог.
Критерии приёмки (что считаем «сделано»)
- Сайт стабильно работает по HTTP/2 в основных браузерах.
- Редирект HTTP→HTTPS корректный, без цепочек и дублей URL.
- HSTS включён безопасно и не ломает поддомены.
- Нет смешанного контента на ключевых страницах.
- Заголовки безопасности настроены и проверены.
Связанные улучшения
Чаще всего эффект усиливается в связке с другими работами:
- Brotli / Gzip / Deflate — снижение размера ресурсов и ускорение загрузки.
- GDPR: 100% соответствие — приведение форм и аналитики к требованиям.
- Ускорение загрузки сайта — комплексная техоптимизация.
- Настройка HTTPS и SSL — усиление TLS и сертификатов.
Как проверить, что сайт действительно работает по HTTP/2?
Проверяем negotiation через ALPN и фактический протокол в браузере/тестах. Если ALPN не согласован или есть конфликты TLS/прокси, браузер может откатываться на HTTP/1.1 даже при включённом HTTP/2.
Что даёт HSTS и почему его нельзя включать без проверки?
HSTS заставляет браузер открывать сайт только по HTTPS и защищает от downgrade-атак. Ошибочная настройка может затронуть поддомены и доступность, поэтому сначала приводим редиректы/сертификаты/контент в порядок, затем включаем директивы.
Нужен ли HSTS preload и когда он уместен?
Preload уместен, когда весь домен и поддомены стабильно обслуживаются по HTTPS, нет смешанного контента, и вы готовы к более строгому режиму. Перед подачей проверяем требования и риски.
Какие ошибки чаще всего тормозят загрузку при включённом HTTP/2?
Лишние редиректы и цепочки 301/302, плохая TLS-конфигурация, смешанный контент, конфликты заголовков кэширования и неверная настройка прокси/балансировщика.
Что я получу по итогам работ?
Список внедрённых изменений, результаты контрольных проверок (протокол, редиректы, TLS, HSTS, security headers) и краткий отчёт по конфигурации.