SNI-инспекция: как цензоры видят адрес сайта даже при HTTPS
Last updated: апрель 9, 2026
Почему шифрование HTTPS не скрывает доменное имя сайта. Объясняем, как работает SNI, почему это происходит и как это можно исправить.
Представьте, что вы отправляете письмо в запечатанном конверте. Конверт полностью закрыт — никто не может прочитать содержимое. Но адрес получателя написан на самом конверте, на виду у всех. Почтальон может не знать, что внутри, но он точно видит, куда это письмо идёт. Вот примерно то же самое происходит с вашим интернет-трафиком: HTTPS шифрует содержимое, но доменное имя сайта остаётся видно. И цензоры это знают.
Почему HTTPS не скрывает адрес сайта
Когда вы подключаетесь к веб-сайту через HTTPS, начинается процесс, называемый TLS-рукопожатием (TLS handshake). Это этап, когда браузер и сервер договариваются о том, как будут шифровать данные между собой. В этом процессе используется поле, называемое SNI (Server Name Indication — указание имени сервера).
SNI существует для решения конкретной технической проблемы. На одном IP-адресе часто расположены сотни или тысячи разных веб-сайтов. Если вы введёте в браузер адрес example.com, сервер должен как-то узнать, что вам нужна именно example.com, а не другой сайт на том же адресе. Без SNI сервер не будет знать, какой цифровой сертификат вам отправить, потому что первый шаг разговора происходит до того, как начинает работать шифрование. Поэтому браузер отправляет доменное имя открытым текстом, в неэнкриптованном виде.
Это решение имело смысл в 1990-х годах, когда IP-адресов было много и на каждый сайт обычно выделялся свой адрес. Но потом интернет перешёл на виртуальный хостинг — размещение множества сайтов на одном сервере. SNI стал необходимостью. Беда в том, что эта необходимость осталась, и теперь каждый раз, когда вы посещаете сайт через HTTPS, цензоры и интернет-провайдеры видят ваш маршрут следования.
Как именно цензоры используют SNI для блокировки
Любой, кто имеет доступ к вашему интернет-трафику, может заглянуть в SNI-поле. Это может быть интернет-провайдер, корпоративный сетевой администратор или государственный орган. Они не могут прочитать то, что вы пишите в письме, не видят ваши пароли или данные формы — но они видят, какой сайт вы посещаете.
Некоторые страны используют это для блокировки контента на уровне доменных имён. Например, если власти хотят заблокировать новостной сайт, они могут создать правило: "Если в SNI-поле появляется доменное имя example-news.com, разорвать соединение". Браузер попытается подключиться, но соединение будет обнулено до того, как начнёт работать шифрование. Пользователь увидит ошибку "Сайт недоступен".
ECH и ESNI: попытка спрятать адрес полностью
Велики попытки исправить эту проблему. Одна из них — это Encrypted Client Hello (ECH), развитие более ранней технологии ESNI (Encrypted Server Name Indication). Идея простая: шифровать SNI вместе со всем остальным, чтобы цензоры не видели доменное имя.
Но это создаёт новую проблему, которую невозможно полностью решить на техническом уровне. Если браузер отправляет SNI в шифрованном виде, он должен сначала как-то узнать открытый ключ сервера, чтобы зашифровать это имя. Этот открытый ключ обычно хранится в DNS-записях сайта. Но DNS-запросы тоже видны цензорам, и тоже в открытом виде. Получается, что блокировщик может увидеть ваш запрос к DNS и заблокировать его там, прежде чем вы вообще попытаетесь подключиться.
Поэтому для работы ECH нужна вспомогательная инфраструктура — защищённые DNS-сервисы, которые не раскрывают ваши запросы. Эта инфраструктура медленно развивается, но она доступна не везде и требует дополнительной настройки.
Где это становится реальной проблемой
SNI-инспекция используется в странах с глубокой государственной цензурой. Россия, Китай, Иран и Турция известны применением таких технологий. Когда вы подходите к сайту, который власти хотят заблокировать, соединение разрывается на самом раннем этапе.
Интересно, что в некоторых случаях это создаёт странные побочные эффекты. Если один домен размещен на одном IP с другими доменами, и власти хотят заблокировать только один из них, они не могут просто заблокировать весь IP-адрес, потому что пострадают другие сайты. SNI-инспекция позволяет быть более точным и избирательным. Это делает её привлекательной для тех, кто контролирует интернет.
Что вы должны знать
SNI-инспекция показывает, почему простое шифрование содержимого — это только часть приватности. Даже если никто не может прочитать ваши данные, они всё равно видят, куда вы идёте. Полная защита требует скрытия множества слоёв: доменного имени, DNS-запросов, IP-адреса и поведения трафика. Это непростая задача, и каждое решение требует компромиссов между скоростью, удобством и приватностью.
Если вас интересует, как на самом деле защищается приватность в интернете, стоит разобраться с тем, как работают DNS, IP-адреса, VPN и различные уровни шифрования. SNI — это лишь один кусочек большой головоломки.
Почему HTTPS не скрывает адрес сайта
Когда вы подключаетесь к веб-сайту через HTTPS, начинается процесс, называемый TLS-рукопожатием (TLS handshake). Это этап, когда браузер и сервер договариваются о том, как будут шифровать данные между собой. В этом процессе используется поле, называемое SNI (Server Name Indication — указание имени сервера).
SNI существует для решения конкретной технической проблемы. На одном IP-адресе часто расположены сотни или тысячи разных веб-сайтов. Если вы введёте в браузер адрес example.com, сервер должен как-то узнать, что вам нужна именно example.com, а не другой сайт на том же адресе. Без SNI сервер не будет знать, какой цифровой сертификат вам отправить, потому что первый шаг разговора происходит до того, как начинает работать шифрование. Поэтому браузер отправляет доменное имя открытым текстом, в неэнкриптованном виде.
Это решение имело смысл в 1990-х годах, когда IP-адресов было много и на каждый сайт обычно выделялся свой адрес. Но потом интернет перешёл на виртуальный хостинг — размещение множества сайтов на одном сервере. SNI стал необходимостью. Беда в том, что эта необходимость осталась, и теперь каждый раз, когда вы посещаете сайт через HTTPS, цензоры и интернет-провайдеры видят ваш маршрут следования.
Как именно цензоры используют SNI для блокировки
Любой, кто имеет доступ к вашему интернет-трафику, может заглянуть в SNI-поле. Это может быть интернет-провайдер, корпоративный сетевой администратор или государственный орган. Они не могут прочитать то, что вы пишите в письме, не видят ваши пароли или данные формы — но они видят, какой сайт вы посещаете.
Некоторые страны используют это для блокировки контента на уровне доменных имён. Например, если власти хотят заблокировать новостной сайт, они могут создать правило: "Если в SNI-поле появляется доменное имя example-news.com, разорвать соединение". Браузер попытается подключиться, но соединение будет обнулено до того, как начнёт работать шифрование. Пользователь увидит ошибку "Сайт недоступен".
ECH и ESNI: попытка спрятать адрес полностью
Велики попытки исправить эту проблему. Одна из них — это Encrypted Client Hello (ECH), развитие более ранней технологии ESNI (Encrypted Server Name Indication). Идея простая: шифровать SNI вместе со всем остальным, чтобы цензоры не видели доменное имя.
Но это создаёт новую проблему, которую невозможно полностью решить на техническом уровне. Если браузер отправляет SNI в шифрованном виде, он должен сначала как-то узнать открытый ключ сервера, чтобы зашифровать это имя. Этот открытый ключ обычно хранится в DNS-записях сайта. Но DNS-запросы тоже видны цензорам, и тоже в открытом виде. Получается, что блокировщик может увидеть ваш запрос к DNS и заблокировать его там, прежде чем вы вообще попытаетесь подключиться.
Поэтому для работы ECH нужна вспомогательная инфраструктура — защищённые DNS-сервисы, которые не раскрывают ваши запросы. Эта инфраструктура медленно развивается, но она доступна не везде и требует дополнительной настройки.
Где это становится реальной проблемой
SNI-инспекция используется в странах с глубокой государственной цензурой. Россия, Китай, Иран и Турция известны применением таких технологий. Когда вы подходите к сайту, который власти хотят заблокировать, соединение разрывается на самом раннем этапе.
Интересно, что в некоторых случаях это создаёт странные побочные эффекты. Если один домен размещен на одном IP с другими доменами, и власти хотят заблокировать только один из них, они не могут просто заблокировать весь IP-адрес, потому что пострадают другие сайты. SNI-инспекция позволяет быть более точным и избирательным. Это делает её привлекательной для тех, кто контролирует интернет.
Что вы должны знать
SNI-инспекция показывает, почему простое шифрование содержимого — это только часть приватности. Даже если никто не может прочитать ваши данные, они всё равно видят, куда вы идёте. Полная защита требует скрытия множества слоёв: доменного имени, DNS-запросов, IP-адреса и поведения трафика. Это непростая задача, и каждое решение требует компромиссов между скоростью, удобством и приватностью.
Если вас интересует, как на самом деле защищается приватность в интернете, стоит разобраться с тем, как работают DNS, IP-адреса, VPN и различные уровни шифрования. SNI — это лишь один кусочек большой головоломки.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ ВЫБОР РЕДАКЦИИ
★★★★★ 9.5/10 · 6,000+ servers · Работает в Китае
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.