Использование безопасного протокола передачи данных активно пропагандировалось Google на протяжении 2014-2015 гг. Компания настаивала, что безопасность пользователей должна быть превыше всего, и предлагала небольшие бонусы сайтам, которые перейдут на HTTPS. Вместе с тем вебмастеров ждала новая проблема - пользователи, входящие из сайта на HTTPS на сайты HTTP, не имели поля referrer, и активно пополняли список прямых заходов, хотя и не являлись таковыми.

В корпоративном блое "Яндекса" рассказали, что причина подобного поведения кроется в спецификации самой сети. Согласно W3C, Referrer должен передаваться при переходе между сайтами любых видов, кроме случая https -> http. Хотя документ еще не закончен, современные браузеры следуют этим указаниям и реализовали именно эту схему подставки referrer. С точки зрения безопасности это оправдано - небезопасный сайт не должен знать, с какого безопасного адреса пришел новый клиент.


Увидеть защищенные источники трафика на HTTP сайт невозможно. Единственный выход - перейти на HTTPS, обеспечив пользователям безопасность, а сайту - точный учет прямых заходов. Получить бесплатный сертификат можно в Let's Encrypt, некоммерческом глобальном центре сертификации, поддерживаемом рядом крупных интернет-компаний.

Владельцы сайтов с HTTPS могут разрешить незащищенным сайтам видеть referrer, если активируют мета-тег referrer. Подробнее об этом можно почитать в разделе Referrer policy delivery. Мета-тег поддерживается как минимум половиной браузеров, использующихся сегодня.