HTTPS не делает вас невидимым. Разбираем, что реально видно о вашем трафике

Наталья Кравцова, инженер по информационной безопасности

В комментариях к моему прошлому посту развернулась хорошая дискуссия. Несколько читателей справедливо указали: фраза «в открытом Wi-Fi сосед видит вашу переписку» — это упрощение, которое в 2026 году уже неверно. Они правы. Поэтому сегодня — без упрощений, по слоям: что в вашем трафике зашифровано, а что остаётся на виду у провайдера, владельца точки доступа или любого, кто сидит на канале.

HTTPS (а по телеметрии браузеров — это сегодня подавляющее большинство загружаемых страниц) шифрует содержимое. Сторонний наблюдатель не увидит, что именно вы пишете, какие пароли вводите, какой конкретной страницей на сайте пользуетесь. Но он видит метаданные — и их часто достаточно, чтобы восстановить картину вашей активности.

Тело запросов и ответов. Полный путь URL — всё, что после домена: /account, ?id=... Заголовки, cookie, токены сессий. Логины, пароли, содержимое сообщений в мессенджерах с нормальным TLS.

Что остаётся на виду

Домены, к которым вы подключаетесь. Тут два канала утечки. Первый — DNS-запрос, если он не зашифрован. Второй — поле SNI в TLS-рукопожатии: имя сайта передаётся открытым текстом ещё до того, как поднимется шифрование, потому что сервер должен понять, какой сертификат вам отдать. То есть факт «вы зашли на сайт X» виден, даже когда что вы там делали — нет.

IP-адреса серверов. Куда уходят пакеты, видно всегда.

Объём, время и длительность сессий. Когда подключились, сколько передали, как долго держали соединение. По этим паттернам (traffic analysis) отличают видеозвонок от чтения почты, а в ряде случаев — опознают и конкретный сайт по «отпечатку» трафика.
Сам факт использования VPN или прокси, если вы их применяете: туннель виден, хотя то, что внутри — нет.

Да, есть технология, которая прячет и SNI — Encrypted Client Hello (ECH), пришедшая на смену устаревшему ESNI. Но она требует поддержки и от сайта, и от браузера, опирается на DNS-записи типа HTTPS — и в России работает плохо: с ноября 2024 года РКН блокирует ECH-соединения Cloudflare (а это сегодня основной провайдер ECH) прямо на уровне ТСПУ — по характерной связке внешнего имени cloudflare-ech.com и ECH-расширения в рукопожатии. Так что рассчитывать, что SNI у вас надёжно спрятан, в российских реалиях пока не стоит.

По умолчанию DNS-запросы идут открытым текстом — провайдер видит каждый домен ещё до соединения. Шифрованный DNS (DoH/DoT) этот канал закрывает: запрос «какой IP у сайта X» уходит к стороннему резолверу внутри TLS.

Но в России здесь засада. Зарубежные публичные резолверы — Google (dns.google), Cloudflare (1.1.1.1), Quad9 — под постоянным давлением: в сентябре 2024-го РКН разом тест-блокировал и Cloudflare, и Google, а госкомпаниям предписано переходить на DNS российских операторов или НСДИ. Тренд однозначный — закручивают. Парадокс в том, что единственный гарантированно стабильный вариант — DNS вашего провайдера или государственный — это ровно те, кто и так видит ваши домены. То есть приватности он не даёт по определению.

И главное: даже рабочий шифрованный DNS не прячет SNI — домен всё равно утекает через TLS-рукопожатие. Поэтому DoH — это половина решения, а не «галочку поставил и невидим».

По нарастанию.

Включить шифрованный DNS — закрывает один из двух каналов утечки доменов (помня про оговорки выше).

В чужих сетях (кафе, гостиница, конференция) гнать трафик через зашифрованный туннель. Тогда наблюдатель на канале видит один адрес — ваш туннель — и объём данных, но не список доменов и не содержимое.

Понимать пределы. Туннель смещает точку наблюдения, а не отменяет её: метаданные никуда не деваются, просто видит их другая сторона. Абсолютной невидимости в сети не бывает — бывает осознанный выбор, кому вы доверяете свои метаданные.

Большинство «советов по безопасности» построены на страшилке «вашу переписку украдут в кафе». На практике вытащить содержимое HTTPS из канала — сложно. А вот собрать профиль ваших привычек по метаданным — каким банком пользуетесь, во сколько просыпаетесь, какие сервисы открываете — легко и незаметно. Угроза давно сместилась с содержимого на метаданные. Защищаться имеет смысл именно от этого.

В прошлый раз я упростила — в этот раз постаралась разложить честно. Поправьте, если где-то перегнула: предметная дискуссия под прошлым постом оказалась полезнее десятка гайдов.