Замочек в адресной строке
Вы видите маленький замочек рядом с адресом сайта в браузере. Это значит: соединение защищено протоколом HTTPS. Ваши данные — пароль, номер карты, личные сообщения — зашифрованы и не могут быть прочитаны посторонними в пути.
HTTPS (HTTP Secure) = HTTP + TLS (Transport Layer Security). TLS — протокол, который обеспечивает шифрование, аутентификацию и целостность данных.
Как работает TLS-рукопожатие
Перед передачей данных браузер и сервер проводят «рукопожатие» (TLS Handshake) — согласование параметров соединения:
1. Браузер отправляет «ClientHello»: поддерживаемые версии TLS, алгоритмы шифрования.
2. Сервер отвечает «ServerHello»: выбранный алгоритм, и главное — сертификат.
3. Браузер проверяет сертификат: кто выдал, не истёк ли, совпадает ли домен.
4. Стороны обмениваются ключами (механизм Диффи-Хеллмана или RSA) и устанавливают симметричный сеансовый ключ.
5. Все дальнейшие данные шифруются этим ключом.
Сертификаты
Сертификат TLS — электронный документ, подтверждающий, что данный сервер действительно принадлежит заявленному домену. Выдаётся Центром сертификации (CA — Certificate Authority): Let's Encrypt (бесплатный), DigiCert, Sectigo и др.
Браузер доверяет только сертификатам от доверенных CA (их список зашит в ОС/браузере). Самоподписанный сертификат вызывает предупреждение «Небезопасное соединение».
Почему HTTP опасен
HTTP передаёт данные открытым текстом. Любой, кто находится в той же сети (кафе, аэропорт), может перехватить и прочитать трафик. Пароли, куки сессий, личные данные — всё видно. HTTPS делает это невозможным: даже перехваченные данные — зашифрованный шум.