PrepBro
← Назад к вопросам

Как работает HTTPS?

1.8 Middle🔥 241 комментариев
#API и веб-протоколы#Безопасность

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI6 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Принцип работы HTTPS

HTTPS (**HyperText Transfer Protocol Secure**) — это защищённая версия протокола HTTP, которая обеспечивает **конфиденциальность**, **целостность** и **аутентификацию** данных при обмене между клиентом (браузером) и сервером. Основная технология, лежащая в его основе — **TLS/SSL** (Transport Layer Security / Secure Sockets Layer).

Ключевые этапы установки защищённого соединения

Процесс, известный как "рукопожатие TLS" (TLS Handshake), состоит из нескольких шагов:

  1. Инициация соединения (Client Hello)
    Клиент отправляет серверу запрос, содержащий:
    *   Поддерживаемые версии TLS/SSL.
    *   Список поддерживаемых **шифров** (cipher suites).
    *   Случайно сгенерированную строку байт (Client Random).


```text
Клиент -> Сервер:
"Привет! Я говорю на TLS 1.2 или 1.3.
Мои любимые шифры: AES_256_GCM, CHACHA20_POLY1305.
Вот мой случайный номер: [Client Random]"
```

2. Ответ сервера и аутентификация (Server Hello, Certificate)

    Сервер отвечает, выбирая наиболее подходящие параметры, и отправляет:
    *   Выбранную версию TLS и шифр.
    *   Свой **SSL-сертификат**, подписанный доверенным **Центром сертификации (CA)**. Этот сертификат содержит **публичный ключ** сервера.
    *   Свой случайный номер (Server Random).


```text
Сервер -> Клиент:
"Давай общаться на TLS 1.3 с шифром AES_256_GCM.
Вот мой паспорт (сертификат) от доверенного центра (CA).
И мой случайный номер: [Server Random]"
```

    **Браузер проверяет сертификат:** сверяет его подпись с публичными ключами доверенных CA из своего хранилища, проверяет срок действия и доменное имя.
  1. Генерация общего секретного ключа
    Это самая важная часть для обеспечения **конфиденциальности**. Клиент генерирует **Pre-Master Secret**, шифрует его публичным ключом сервера (из сертификата) и отправляет. **Только сервер**, обладающий соответствующим **приватным ключом**, может его расшифровать.
    И клиент, и сервер независимо друг от друга комбинируют Client Random, Server Random и Pre-Master Secret, чтобы создать идентичные **сеансовые ключи** (Session Keys). Эти симметричные ключи будут использоваться для шифрования всего последующего трафика.


```php
// Упрощённая логика на PHP (для иллюстрации)
// На стороне клиента (в браузере это происходит автоматически):
$preMasterSecret = generateRandomBytes(48);
$encryptedPreMaster = openssl_public_encrypt(
    $preMasterSecret,
    $serverPublicKey // Из сертификата
);
// Отправляем $encryptedPreMaster серверу

// На стороне сервера:
$preMasterSecret = openssl_private_decrypt(
    $encryptedPreMaster,
    $serverPrivateKey // Хранится в секрете на сервере
);
// И клиент, и сервер теперь вычисляют общий мастер-ключ:
$masterSecret = hash('sha256', $clientRandom . $serverRandom . $preMasterSecret);
// А из него — сеансовые ключи для шифрования и MAC.
```

4. Завершение рукопожатия и начало безопасной передачи данных

    Обе стороны обмениваются финальными сообщениями, зашифрованными уже новыми сеансовыми ключами, подтверждая, что рукопожатие прошло успешно. После этого начинается обмен **зашифрованными HTTP-данными**.


```text
Клиент <-> Сервер:
"Всё проверено, ключи созданы. Давай начинать!"
[Все дальнейшие HTTP-запросы и ответы шифруются AES_256_GCM]
```

Роли криптографических компонентов

  • Асимметричное шифрование (публичный/приватный ключ): Используется только на этапе рукопожатия для безопасной передачи Pre-Master Secret и аутентификации сервера. Вычислительно сложно, поэтому не используется для всего трафика.
  • Симметричное шифрование (сеансовые ключи): Используется для шифрования всех данных после рукопожатия. Алгоритмы (AES, ChaCha20) очень быстрые и эффективные.
  • Цифровые сертификаты и CA: Обеспечивают аутентификацию. Удостоверяют, что клиент общается именно с тем сервером, с которым планировал (защита от MITM-атак).
  • Коды аутентификации сообщений (MAC/HMAC): Гарантируют целостность данных. Позволяют обнаружить любую подмену или повреждение информации в transit.

Практическая реализация для PHP-разработчика

Для работы с HTTPS на стороне сервера необходимо:

  1. Приобрести и установить на веб-сервер (Nginx/Apache) SSL-сертификат от доверенного CA (например, Let's Encrypt — бесплатный).
  2. Настроить веб-сервер на прослушивание порта 443 и использование TLS.
  3. В PHP-приложениях все внутренние ссылки должны использовать https://. Можно принудительно перенаправлять HTTP на HTTPS через конфигурацию веб-сервера.

Итог: HTTPS создаёт безопасный "туннель" между браузером и сервером. Сложная, но быстрая криптография при рукопожатии обеспечивает надёжный обмен симметричными ключами, которые затем используются для эффективного шифрования всего трафика, защищая логины, пароли, платежные данные и любую другую конфиденциальную информацию от перехвата и подмены.

Как работает HTTPS? | PrepBro