Введение: открытка vs запечатанный конверт ✉️🔒

Проблема → решение

Чем помогает и как работает

1. Браузер открывает https://... и получает сертификат.
2. Проверяет цепочку доверия и договаривается о ключах (TLS).
3. Дальше весь трафик шифруется между клиентом и сервером.

Ключевые термины (простыми словами)

• HTTP (HyperText Transfer Protocol — протокол передачи гипертекста) — правила обмена запросами и ответами.
• HTTPS (HTTP Secure — защищённый HTTP) — HTTP поверх шифрования TLS.
• TLS (Transport Layer Security — безопасность транспортного уровня) — протокол шифрования канала.
• SSL (Secure Sockets Layer — устаревший протокол) — старое название, в проде не используется.
• Certificate (сертификат) — цифровой «паспорт» сервера.
• CA (Certificate Authority — центр сертификации) — организация, которая подтверждает сертификат.
• Handshake (рукопожатие) — обмен ключами перед началом защищённого общения.
• Header (заголовок) — метаданные запроса/ответа.
• HSTS (Strict-Transport-Security) — политика «всегда HTTPS».
• Mixed Content (смешанный контент) — когда HTTPS‑страница грузит HTTP‑ресурсы.

Самое важное (must‑know)

• HTTPS обязателен для логинов, оплат и личных данных.
• Сертификат должен быть от доверенного CA (самоподписанный — не для прода).
• TLS 1.2/1.3 — стандарт, старые версии выключаем.
• HSTS + редирект фиксируют «всегда HTTPS».
• Токены нельзя передавать в URL — они утекут в логи и историю.
• Secure + HttpOnly + SameSite — минимум для cookies сессии.

1. HTTP — базовый протокол обмена

GET /courses HTTP/1.1Host: academy.exampleUser-Agent: браузер

HTTP/1.1 200 OKContent-Type: text/html

1. Браузер делает запрос GET /courses по HTTP.
2. Сервер отвечает 200 OK и отдает HTML.
3. Трафик можно просмотреть в сети без шифрования.

• ✅ простой и быстрый;
• ✅ не хранит состояние (stateless);
• ❗ данные видны в открытом виде.

2. HTTPS = HTTP + TLS

https://academy.example/login

1. Браузер открывает https://... и выполняет TLS handshake.
2. Затем весь HTTP-трафик идет в шифрованном виде.
3. В адресной строке появляется значок замка.

• ✅ данные не читаются по пути;
• ✅ защита от подмены;
• ✅ доверие к серверу через сертификат.

3. Сертификаты и центры сертификации

Issuer: Let's EncryptSubject: academy.exampleValid: 2026-01-01 → 2026-04-01

1. Сервер отправляет сертификат в начале соединения.
2. Браузер проверяет цепочку доверия до CA.
3. Если сертификат самоподписан — появляется предупреждение.

• ✅ сертификат выдаёт CA;
• ✅ у сертификата есть срок;
• ❗ самоподписанный сертификат не подходит для прода.

4. TLS Handshake (упрощённо)

1. Клиент запрашивает защищённое соединение.
2. Сервер отправляет сертификат.
3. Клиент проверяет сертификат и создаёт сессионный ключ.
4. Дальше всё общение идёт в шифре.

1. Клиент шлет ClientHello с поддерживаемыми алгоритмами.
2. Сервер отвечает ServerHello и сертификатом.
3. Стороны согласуют ключ и начинают шифровать трафик.

• ✅ использует асимметричное + симметричное шифрование;
• ✅ выполняется автоматически;
• ✅ защищает от «человека посередине».

5. Заголовки и безопасность

HTTP/1.1 200 OKStrict-Transport-Security: max-age=31536000; includeSubDomainsSet-Cookie: session=abc; Secure; HttpOnly; SameSite=Lax

Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadContent-Security-Policy: default-src 'self'; img-src 'self' https: data:; script-src 'self'; style-src 'self' 'unsafe-inline'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'Permissions-Policy: geolocation=(), camera=(), microphone=(), payment=()

1. Сервер отправляет заголовки безопасности (CSP, HSTS, X-Frame-Options).
2. Браузер применяет правила и блокирует опасные действия.
3. Это снижает риск XSS и clickjacking.

• ✅ заголовки задают правила безопасности;
• ✅ можно управлять cookies и доступом;
• ✅ защита от случайных утечек.

6. Редирект HTTP → HTTPS и HSTS

HTTP/1.1 308 Permanent RedirectLocation: https://academy.example/login

1. Пользователь вводит http://example.com (или просто example.com).
2. Сервер отвечает 308 Permanent Redirect (или 301) и отдает Location: https://example.com.
3. Браузер автоматически переходит на https://example.com.

7. Cookies и токены

Set-Cookie: session=abc123; Secure; HttpOnly; SameSite=Strict

1. Сервер после логина ставит cookie сессии.
2. Cookie помечается Secure + HttpOnly + SameSite.
3. Токены передаются в заголовке Authorization, а не в URL.

• ✅ Secure — только по HTTPS;
• ✅ HttpOnly — недоступно JS;
• ✅ SameSite — защита от CSRF.

Сравнение: HTTP vs HTTPS

Часто спрашивают на собеседованиях

• В чём разница HTTP и HTTPS? HTTPS шифрует канал и подтверждает сервер.
• Что такое TLS handshake? обмен ключами перед защищённой сессией.
• Зачем нужен сертификат? чтобы браузер доверял серверу.
• Что такое HSTS? запрет использовать HTTP даже случайно.
• Почему нельзя токен в URL? он попадёт в логи и историю.
• Чем SSL отличается от TLS? SSL устарел, TLS — современный стандарт (в проде используют TLS 1.2/1.3).

Типичные ошибки

Ошибка 1: «Форма логина по HTTP»

Ошибка 2: нет редиректа на HTTPS

Ошибка 3: самоподписанный сертификат в проде

Ошибка 4: смешанный контент

Ошибка 5: устаревшие TLS‑версии

Ошибка 6: cookies без Secure/HttpOnly

Ошибка 7: токены в URL

Best Practices

• Включайте HTTPS везде, даже на статике.
• Делайте 301/308 редирект и включайте HSTS.
• Используйте TLS 1.2/1.3, отключайте старые версии.
• Ставьте сертификаты от доверенных CA и следите за сроками.
• Для сессий используйте Secure + HttpOnly + SameSite.
• Никогда не передавайте токены в URL.

Заключение