Основы сетевой приватности: что видит ваш провайдер
Базовое руководство по сетевой приватности: что именно может видеть ваш интернет-провайдер, какие метаданные утекают в сеть и как это уменьшить.
Основы сетевой приватности: что видит ваш провайдер
Многие пользователи уверены, что раз все сайты работают через HTTPS, их интернет-активность надёжно скрыта. Это верно лишь частично. Да, содержимое запросов зашифровано, но наружу утекает значительный объём метаданных, и при желании по ним можно восстановить довольно подробную картину ваших привычек. Разбираемся, что именно видит провайдер и как уменьшить утечку.
Что именно видно при HTTPS-соединении
Когда вы открываете сайт по HTTPS, в сеть попадает несколько слоёв информации. Одни зашифрованы, другие — нет:
Зашифровано (провайдер не видит)
- Содержимое страниц, которые вы смотрите.
- Тексты запросов и ответов.
- Заголовки HTTP (после установки TLS).
- Cookies и данные авторизации.
- Пароли, формы, отправленные сообщения.
Не зашифровано (провайдер видит)
- IP-адрес назначения. Провайдер знает, к какому серверу вы подключились.
- Объём трафика. Сколько байт ушло, сколько пришло.
- Время соединения. Когда вы начали и когда закончили.
- SNI (Server Name Indication). В стандартном TLS до версии 1.3 имя сайта передаётся в открытом виде при начале рукопожатия.
- DNS-запросы. Если вы используете обычный DNS, провайдер видит все имена, которые вы резолвите.
Пример: что значит «SNI утекает»
Представим, что вы зашли на example-bank.com. По HTTPS провайдер не видит, какую страницу вы открыли, что вы там делали, и какой у вас баланс. Но он видит:
- DNS-запрос
A example-bank.com→ знает, что вы резолвили этот домен. - TLS-рукопожатие с
SNI: example-bank.com→ знает, что вы подключились к этому сайту. - 5 минут трафика в обе стороны → знает, что вы провели там 5 минут.
Этого достаточно, чтобы понять: «пользователь в 14:23 заходил в свой банк». Содержимого не видно, но контекст восстанавливается.
Как уменьшить утечки
Хорошая новость: большую часть утечек можно закрыть штатными средствами современных браузеров и ОС.
1. DNS-over-HTTPS (DoH)
Обычные DNS-запросы идут в открытом виде на UDP-порт 53. DoH заворачивает их в HTTPS, и провайдер не видит, какие домены вы резолвите.
Как включить:
- Firefox: Настройки → Приватность → DNS через HTTPS → включить.
- Chrome: Настройки → Конфиденциальность → Безопасность → Использовать безопасный DNS.
- Windows 11: Параметры → Сеть → Изменить параметры адаптера → свойства IPv4 → DNS через HTTPS.
- macOS и iOS: через профиль MDM или встроенные настройки Private Relay (для подписчиков iCloud+).
2. Encrypted Client Hello (ECH)
ECH шифрует содержимое Client Hello, включая SNI. Внедряется постепенно — Chrome, Firefox и Safari поддерживают его экспериментально.
Чтобы включить:
- Firefox:
about:config→network.dns.echconfig.enabled = true,network.dns.use_https_rr_as_altsvc = true. - Chrome:
chrome://flags/#encrypted-client-hello→ Enable.
Важно: ECH работает только если сам сайт его поддерживает. Сегодня это Cloudflare и ещё несколько крупных CDN.
3. Современный TLS 1.3
Убедитесь, что у вас актуальный браузер и современные серверы, к которым вы подключаетесь. TLS 1.3 шифрует больше полей рукопожатия, чем TLS 1.2.
4. Шифрованный туннель или прокси
Если вам важно скрыть сам факт подключения к конкретному сайту, без шифрованного туннеля не обойтись. Провайдер в этом случае видит только одно соединение — к удалённому серверу, — а всё остальное происходит внутри туннеля.
5. Проверьте утечки DNS
Даже с включённым DoH и шифрованным туннелем возможны утечки. Мы писали подробнее в статье про DNS-утечки — там же инструмент для самопроверки.
А что с приложениями?
Приложения часто хуже браузеров по приватности. Некоторые:
- используют собственные жёстко прописанные DNS-серверы (Google DNS, Cloudflare DNS);
- не поддерживают системные настройки DoH;
- отправляют телеметрию на аналитические эндпоинты.
Проверить, куда ваше приложение обращается, можно через Little Snitch (macOS), GlassWire (Windows) или NetGuard (Android).
Практический чек-лист
Если вы хотите уменьшить утечку метаданных, сделайте эти шаги:
- [ ] Включите DoH в браузере и, если возможно, в ОС.
- [ ] Обновите браузер до актуальной версии.
- [ ] Проверьте настройки приватности браузера (отключите телеметрию).
- [ ] Используйте менеджер паролей и двухфакторную аутентификацию.
- [ ] Для важных сценариев — используйте защищённое соединение.
- [ ] Регулярно проверяйте утечки на ipleak.net или dnsleaktest.com.
Что в подписке LinesUPS
Все подписки LinesUPS по умолчанию:
- Используют DoH внутри туннеля — утечки DNS невозможны.
- Работают через современный TLS с маскировкой рукопожатия под обычные браузеры.
- Не логируют ваши запросы — ни SNI, ни IP назначения.
Итог
Сетевая приватность — это не «всё или ничего». Каждая дополнительная мера уменьшает объём метаданных, которые уходят в сеть. Начать стоит с базовых вещей: DoH, актуальный браузер, проверка утечек. Для более серьёзных сценариев — защищённое соединение с современным протоколом.
Попробуйте LinesUPS бесплатно 1 день — все меры защиты приватности включены по умолчанию.