Как работает HTTPS: что означает значок замка
Last updated: апрель 9, 2026
Разберёмся, что на самом деле защищает HTTPS и почему значок замка не гарантирует надёжность сайта. TLS, сертификаты, шифрование.
Вы открываете интернет-банк в кафе, подключённый к общей Wi-Fi сети. Ваш браузер показывает зелёный значок замка рядом с адресом сайта. Это означает, что никто в кафе не может перехватить ваш пароль? Да. Но означает ли это, что сам банк — именно то, за что он себя выдаёт, а не подделка? Вот это уже сложнее. Давайте разберёмся, как работает эта система и что она действительно защищает.
Значок замка в браузере сообщает две вещи одновременно: во-первых, что данные между вами и сервером зашифрованы, во-вторых, что сервер предоставил доказательство своей личности. Но это не означает, что сам сервис заслуживает доверия. Понимание этой разницы критически важно для безопасности в интернете.
От букв к коду: что такое TLS
Когда вы посещаете сайт, ваш браузер и сервер не могут просто так начать общаться зашифрованно — они же друг друга не знают. Они должны договориться: какой метод шифрования использовать, какие ключи применять, как убедиться, что никто не подменил сообщение. Это происходит в процессе, называемом TLS-рукопожатием (TLS handshake). TLS расшифровывается как Transport Layer Security — это протокол, который лежит под HTTPS.
Представьте двух незнакомцев, которые встречаются в переполненном аэропорту и хотят обсудить что-то конфиденциальное. Они не могут просто начать говорить — нужно убедиться, что вы говорите именно с нужным человеком, а не с подставленным. Затем нужно придумать способ, чтобы окружающие не услышали вашу беседу. TLS-рукопожатие — это как раз этот процесс согласования.
Ваш браузер первым посылает сообщение: «Привет, я хочу установить защищённое соединение». Сервер отвечает: «Привет, вот мой сертификат и список алгоритмов шифрования, которые я поддерживаю». Затем оба компьютера вычисляют сессионный ключ — большое случайное число, которое знают только они двое. Это число используется для шифрования всех данных в течение этой конкретной сессии.
Зачем серверу показывать сертификат
Сертификат — это как паспорт для веб-сервера. В нём указано имя владельца (например, example.com), его открытый криптографический ключ, срок действия и — главное — подпись от доверенного органа. Эту подпись называют центром сертификации (Certificate Authority, или CA).
Центр сертификации — это организация, которую браузер считает надёжной. В операционной системе вашего компьютера или смартфона заранее загружены корневые сертификаты примерно 100–150 таких органов. Когда сервер отправляет вам свой сертификат, браузер проверяет: подпись в порядке? Срок действия не истёк? Имя в сертификате совпадает с именем в адресной строке? Если все проверки пройдены — вы видите зелёный замок.
Аналогия с почтой: если я отправлю вам письмо, подписанное нотариусом, вы знаете, что письмо точно написал я, потому что нотариус проверил мою личность. Сертификат работает похожим образом. Центр сертификации проверяет, что сервер действительно владеет доменом example.com, и выдаёт сертификат с подписью.
Что защищает замок, а что нет
Зелёный замок означает: ваше соединение зашифровано, и сервер прошёл проверку идентификации. На публичной Wi-Fi это критически важно. Если вы не используете HTTPS, люди в том же кафе, подключённые к той же сети, могут перехватывать незашифрованный трафик — видеть ваши пароли, сообщения, платежные данные. Замок это останавливает.
Однако замок НЕ означает: сайт безопасен, не содержит вредоноса, не украдёт ваши данные, не является мошенническим. Фишинговый сайт, точная копия настоящего банка, может иметь действительный HTTPS-сертификат. Малвер, вирусы, скамы — всё это может скрываться за зелёным замком. Замок гарантирует только одно: между вами и этим конкретным сервером установлено защищённое соединение.
Проверка сертификатов не кончается на рукопожатии
Далеко не всегда центр сертификации узнаёт, что его сертификат больше не должен быть доверенным. Может быть взломан приватный ключ сервера, может быть отозван сертификат, может быть скомпрометирован сам центр сертификации. Для этого существуют журналы прозрачности сертификатов (Certificate Transparency logs). Это публичные реестры всех выданных сертификатов. Браузеры проверяют эти журналы, хотя процесс сложный и происходит за кулисами. Для продвинутых пользователей это подстраховка, но не все браузеры полностью её реализуют.
Почему HTTPS критичен, но недостаточен
На открытой сети HTTPS — это не опция, это необходимость. Без него любой может подслушивать. С ним перехватить данные намного сложнее. Но HTTPS — это только слой в луковице безопасности. Он защищает канал связи, но не содержимое на другом конце. Вирус на сервере, утечка базы данных, плохие политики приватности — всё это остаётся за пределами того, что может предотвратить HTTPS.
Когда вы видите замок, спросите себя не только: «Зашифровано ли соединение?» Спросите и: «Я доверяю этому сайту?» «Проверил ли я адрес в строке браузера?» «Это действительно банк, или очень похожая подделка?» Замок — это защита от подслушивания, а не от обмана.
След дальше: изучите, как браузеры управляют корневыми сертификатами, что такое фишинг, как работает двухфакторная аутентификация — это слои, которые добавляют подлинную безопасность поверх HTTPS.
Значок замка в браузере сообщает две вещи одновременно: во-первых, что данные между вами и сервером зашифрованы, во-вторых, что сервер предоставил доказательство своей личности. Но это не означает, что сам сервис заслуживает доверия. Понимание этой разницы критически важно для безопасности в интернете.
От букв к коду: что такое TLS
Когда вы посещаете сайт, ваш браузер и сервер не могут просто так начать общаться зашифрованно — они же друг друга не знают. Они должны договориться: какой метод шифрования использовать, какие ключи применять, как убедиться, что никто не подменил сообщение. Это происходит в процессе, называемом TLS-рукопожатием (TLS handshake). TLS расшифровывается как Transport Layer Security — это протокол, который лежит под HTTPS.
Представьте двух незнакомцев, которые встречаются в переполненном аэропорту и хотят обсудить что-то конфиденциальное. Они не могут просто начать говорить — нужно убедиться, что вы говорите именно с нужным человеком, а не с подставленным. Затем нужно придумать способ, чтобы окружающие не услышали вашу беседу. TLS-рукопожатие — это как раз этот процесс согласования.
Ваш браузер первым посылает сообщение: «Привет, я хочу установить защищённое соединение». Сервер отвечает: «Привет, вот мой сертификат и список алгоритмов шифрования, которые я поддерживаю». Затем оба компьютера вычисляют сессионный ключ — большое случайное число, которое знают только они двое. Это число используется для шифрования всех данных в течение этой конкретной сессии.
Зачем серверу показывать сертификат
Сертификат — это как паспорт для веб-сервера. В нём указано имя владельца (например, example.com), его открытый криптографический ключ, срок действия и — главное — подпись от доверенного органа. Эту подпись называют центром сертификации (Certificate Authority, или CA).
Центр сертификации — это организация, которую браузер считает надёжной. В операционной системе вашего компьютера или смартфона заранее загружены корневые сертификаты примерно 100–150 таких органов. Когда сервер отправляет вам свой сертификат, браузер проверяет: подпись в порядке? Срок действия не истёк? Имя в сертификате совпадает с именем в адресной строке? Если все проверки пройдены — вы видите зелёный замок.
Аналогия с почтой: если я отправлю вам письмо, подписанное нотариусом, вы знаете, что письмо точно написал я, потому что нотариус проверил мою личность. Сертификат работает похожим образом. Центр сертификации проверяет, что сервер действительно владеет доменом example.com, и выдаёт сертификат с подписью.
Что защищает замок, а что нет
Зелёный замок означает: ваше соединение зашифровано, и сервер прошёл проверку идентификации. На публичной Wi-Fi это критически важно. Если вы не используете HTTPS, люди в том же кафе, подключённые к той же сети, могут перехватывать незашифрованный трафик — видеть ваши пароли, сообщения, платежные данные. Замок это останавливает.
Однако замок НЕ означает: сайт безопасен, не содержит вредоноса, не украдёт ваши данные, не является мошенническим. Фишинговый сайт, точная копия настоящего банка, может иметь действительный HTTPS-сертификат. Малвер, вирусы, скамы — всё это может скрываться за зелёным замком. Замок гарантирует только одно: между вами и этим конкретным сервером установлено защищённое соединение.
Проверка сертификатов не кончается на рукопожатии
Далеко не всегда центр сертификации узнаёт, что его сертификат больше не должен быть доверенным. Может быть взломан приватный ключ сервера, может быть отозван сертификат, может быть скомпрометирован сам центр сертификации. Для этого существуют журналы прозрачности сертификатов (Certificate Transparency logs). Это публичные реестры всех выданных сертификатов. Браузеры проверяют эти журналы, хотя процесс сложный и происходит за кулисами. Для продвинутых пользователей это подстраховка, но не все браузеры полностью её реализуют.
Почему HTTPS критичен, но недостаточен
На открытой сети HTTPS — это не опция, это необходимость. Без него любой может подслушивать. С ним перехватить данные намного сложнее. Но HTTPS — это только слой в луковице безопасности. Он защищает канал связи, но не содержимое на другом конце. Вирус на сервере, утечка базы данных, плохие политики приватности — всё это остаётся за пределами того, что может предотвратить HTTPS.
Когда вы видите замок, спросите себя не только: «Зашифровано ли соединение?» Спросите и: «Я доверяю этому сайту?» «Проверил ли я адрес в строке браузера?» «Это действительно банк, или очень похожая подделка?» Замок — это защита от подслушивания, а не от обмана.
След дальше: изучите, как браузеры управляют корневыми сертификатами, что такое фишинг, как работает двухфакторная аутентификация — это слои, которые добавляют подлинную безопасность поверх HTTPS.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ ВЫБОР РЕДАКЦИИ
★★★★★ 9.5/10 · 6,000+ servers · Работает в Китае
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.