Все статьи с тегом #HTTPS.
Сценарий, который встречает любой сетевой инженер: сайт открывается частично — текст пришёл, картинки нет. TCP-соединение установлено, ping проходит, мелкие запросы работают, но крупные ответы зависают. В 80% случаев это история про MTU, MSS и потерянные ICMP-сообщения. Пять минут понимания делают этот класс багов прозрачным. Разбираем PMTUD, blackhole-симптом, MSS clamping и туннели IPsec/GRE/PPPoE/GTP с конкретными числами.
Классический DNS работает по UDP/53 открытым текстом с 1987 года, и любой посредник видит, какие сайты вы открываете, ещё до TLS. IETF в 2018 опубликовал два независимых решения этой проблемы — DoT (RFC 7858) и DoH (RFC 8484), а в 2022 добавил третье — DoQ (RFC 9250). Они разные не случайно: каждый предназначен для своего слоя архитектуры. Разбираемся в нюансах с примерами настройки.
Заголовок «теперь поддерживается HTTP/3» появляется на сайтах CDN с 2021 года. Что это меняет для обычного пользователя, открывающего страницу в Chrome? Ответ зависит от того, какой у вас интернет: на стабильном оптике почти ничего, в мобильной сети с потерями — на десятки процентов быстрее. Разбираем без терминов, с примерами и инструкциями, как это проверить руками.
Многие думают, что HTTPS делает соединение полностью невидимым. Другие после новостей о DPI считают, что шифрование «больше ни от чего не защищает». Истина посередине: HTTPS закрывает прикладной уровень — формы, cookies, тело страницы, путь URL. Но IP, порт, размеры и тайминги пакетов, а часто и SNI — это сетевые признаки, без которых маршрутизация невозможна. Разбираем границы по слоям с конкретными примерами.
Между нажатием Enter и появлением первой буквы на странице браузер и сервер успевают договориться о версии протокола, выбрать набор шифров, обменяться открытыми частями ECDHE-ключа, проверить сертификат и убедиться, что транскрипт никто не подменил. Разбираем TLS handshake так, чтобы его можно было нарисовать на салфетке.
Server Name Indication — расширение TLS, из-за которого по HTTPS-соединению можно определить посещаемый домен, не расшифровывая трафик. Разбираем, как работает SNI, зачем он нужен хостингу и какие есть альтернативы.
Encrypted ClientHello — самая значимая эволюция TLS-handshake за последние годы. Разбираем, как работает шифрование первого сообщения, откуда берутся ключи и какие браузеры уже поддерживают технологию.
QUIC — мультиплексированный транспорт поверх UDP с встроенным TLS 1.3. На нём построен HTTP/3, и его доля в трафике крупных сервисов уже перевалила за 50%. Разбираем архитектуру, преимущества и вызовы для сетевых инженеров.
DNS-over-HTTPS, DNS-over-TLS и DNS-over-QUIC — три родственных протокола, закрывающих последний открытый канал современного интернета. Разбираем различия, производительность и поддержку в ОС.
Роскомнадзор ведёт несколько реестров запрещённых ресурсов. Их содержимое рассылается операторам по фиксированному протоколу. Разбираем формат, периодичность, задачи и ограничения.
С 1995 года регулирование российского сегмента сети прошло огромный путь. Разбираем самые важные законы, инциденты и технологические переходы — без оценочных суждений, только факты и даты.