Все статьи с тегом #TLS.
Самое распространённое заблуждение о DPI — что он «читает ваши сообщения». В 2026 году содержимое HTTPS-страницы недоступно без кооперации клиента, и большая часть работы идёт по метаданным: SNI, ALPN, размерам пакетов, JA3/JA4 fingerprint и поведенческой статистике потоков. Разбираем все слои классификации с конкретными числами и примерами, чем именно отличается VoIP от видео и старый JA3 от нового JA4.
SNI родился как ответ на дефицит IPv4: одному IP-адресу нужно было обслуживать тысячи доменов, и сервер должен был узнать имя сайта ещё до выбора сертификата. Это решило одну проблему и оставило имя домена в открытом виде на двадцать лет. ECH (Encrypted ClientHello) меняет правила: разделяет внешнюю и внутреннюю части ClientHello, шифрует SNI ключом из DNS и переносит этот ключ внутрь TLS. Разбираем, как именно это работает и что нужно для развёртывания.
Многие думают, что HTTPS делает соединение полностью невидимым. Другие после новостей о DPI считают, что шифрование «больше ни от чего не защищает». Истина посередине: HTTPS закрывает прикладной уровень — формы, cookies, тело страницы, путь URL. Но IP, порт, размеры и тайминги пакетов, а часто и SNI — это сетевые признаки, без которых маршрутизация невозможна. Разбираем границы по слоям с конкретными примерами.
Между нажатием Enter и появлением первой буквы на странице браузер и сервер успевают договориться о версии протокола, выбрать набор шифров, обменяться открытыми частями ECDHE-ключа, проверить сертификат и убедиться, что транскрипт никто не подменил. Разбираем TLS handshake так, чтобы его можно было нарисовать на салфетке.
Deep Packet Inspection — технология, которая читает не только IP-адреса, но и содержимое пакетов. Разбираем, какие сигнатуры она ищет, почему не видит зашифрованный трафик в открытом виде и где её уязвимые места.
ТСПУ — оборудование, установленное у российских операторов связи для анализа и селективного ограничения трафика. Разбираем архитектуру, этапы развёртывания и чем ТСПУ отличается от классического DPI.
Server Name Indication — расширение TLS, из-за которого по HTTPS-соединению можно определить посещаемый домен, не расшифровывая трафик. Разбираем, как работает SNI, зачем он нужен хостингу и какие есть альтернативы.
Encrypted ClientHello — самая значимая эволюция TLS-handshake за последние годы. Разбираем, как работает шифрование первого сообщения, откуда берутся ключи и какие браузеры уже поддерживают технологию.
QUIC — мультиплексированный транспорт поверх UDP с встроенным TLS 1.3. На нём построен HTTP/3, и его доля в трафике крупных сервисов уже перевалила за 50%. Разбираем архитектуру, преимущества и вызовы для сетевых инженеров.
DNS-over-HTTPS, DNS-over-TLS и DNS-over-QUIC — три родственных протокола, закрывающих последний открытый канал современного интернета. Разбираем различия, производительность и поддержку в ОС.