Fexyn
Fexyn
All posts

HTTPS против VPN: нужен ли VPN, если каждый сайт на HTTPS?

Fexyn Team··8 min read

Вопрос «HTTPS против VPN» задают часто, теперь когда почти каждый сайт на TLS. Логика звучит крепко: «Если браузер показывает замок, мой трафик зашифрован, зачем платить за VPN?» Логика также неполна особым образом, который этот текст разберёт.

Короткий ответ сразу: HTTPS шифрует содержимое того, что отправляешь конкретному сайту. VPN шифрует метаданные о том, какие сайты посещаешь, когда, как часто и откуда. Они сидят на разных слоях сетевого стека и защищают от разных типов наблюдателей. Они дополняют друг друга, не дублируют.

Что защищает HTTPS

Когда грузишь https://example.com/private-page, TLS делает три вещи между браузером и example.com:

  1. Аутентифицирует сервер. TLS-handshake верифицирует, что говоришь с реальным example.com, не с самозванцем.
  2. Шифрует контент. Всё внутри соединения (URL-путь, заголовки, тело, куки) зашифровано. Провайдер не читает содержимое страницы. Атакующий в кафешном Wi-Fi тоже.
  3. Защищает целостность. У соединения криптографические проверки целостности — атакующий не модифицирует байты в полёте незаметно, не сломав соединение.

Это много. Покрытие HTTPS реально сильное. На 2026-й более 95% открытого веба — HTTPS-only, и современные браузеры громко предупреждают на немногих исключениях.

Что HTTPS всё равно леакает

Клейм «зашифрованный контент» правда. Клейм «зашифровано всё» — нет. Несколько кусков метаданных утекают из типичного HTTPS-соединения:

SNI (Server Name Indication)

Когда браузер начинает TLS-handshake к сайту, он сообщает серверу, к какому хосту хочет подключиться. Это нужно, потому что один IP часто хостит много сайтов, и сервер должен знать, какой сертификат отправить. Хост передаётся открытым текстом в начале handshake.

Все, кто наблюдает сеть, видят хост. Провайдер знает, что подключился к nytimes.com, даже если не читает, какую статью читаешь. Сетевой оператор в аэропорту видит то же.

Encrypted Client Hello (ECH) — фикс в работе. Cloudflare, Google, Mozilla поддерживают. Большая часть веба — пока нет. На 2026-й SNI открытым текстом для подавляющего большинства сайтов.

DNS-запросы

До того, как браузер подключится к nytimes.com, нужно резолвить имя в IP. По умолчанию запрос идёт на DNS-сервер провайдера открытым текстом. Провайдер видит резолвленный хост ещё до SNI.

DNS-over-HTTPS (DoH) и DNS-over-TLS (DoT) это фиксят для тех, кто настраивает. Firefox делает DoH по умолчанию в некоторых регионах. Большинство пользователей на большинстве платформ всё ещё используют открытый DNS. У нас более глубокий пост как DNS-лики выдают локацию, разбирающий режимы провалов.

IP назначения

Даже если SNI зашифрован и DNS приватен, IP-адрес назначения открытый. Он должен быть: роутеры на пути используют его для форвардинга. Наблюдатель, мапящий IP в домен (тривиально; rDNS, Censys, Shodan, даже просто запустив краулер), обычно может понять, какой сайт посещаешь, по одному IP, особенно для сайтов на выделенной инфраструктуре.

Исключение — большие CDN-хостинговые сайты, где один IP обслуживает тысячи доменов (anycast-адреса Cloudflare, edge-ноды AWS CloudFront). В этом случае один IP не информативен. SNI обычно заполняет пробел.

Форма трафика

Даже если всё вышеперечисленное идеально зашифровано, наблюдатель может зафингерпринтить тип активности по размерам пакетов, таймингам и паттернам. Стриминг видео имеет узнаваемый burst-and-quiet паттерн. Видеозвонки — стабильный двунаправленный поток на характерных скоростях. Загрузка типичной страницы — поток мелких запросов с последующим крупным скачиванием. Изощрённый анализ трафика может идентифицировать конкретные сайты и даже конкретные видео по этому фингерпринту, особенно для популярных направлений с кешируемым контентом.

Этот анализ редок на практике для отдельных пользователей и обычен для государственных противников. Полезно знать, что существует.

Метаданные подключения

Время подключения, длительность и счётчики байт — всё видно сети. Провайдер знает, что ты подключился к чему-то в 21:47 и оставался подключённым 23 минуты, передал 47 МБ. Даже если всё остальное скрыто, существование и паттерн соединения — это метаданные.

Что защищает VPN

VPN-туннель шифрует всё сетевое соединение между устройством и VPN-сервером. Провайдер, оператор локального Wi-Fi, captive portal и все, кто наблюдает путь между тобой и VPN-сервером, видят только зашифрованные байты, идущие на IP VPN-провайдера.

С точки зрения провайдера:

  • Видит одно соединение, к IP VPN-сервера.
  • Не читает SNI ни одного сайта — все SNI-данные внутри зашифрованного туннеля.
  • Не читает DNS-запросы — DNS происходит внутри туннеля и резолвится через резолвер VPN-провайдера.
  • Видит форму трафика одного большого агрегированного соединения (браузинг, стриминг, звонки — всё мультиплексировано в одном туннеле), не пер-сайт форму, как было бы иначе.

Что всё ещё видят: что у тебя есть VPN-соединение, IP VPN-сервера, время подключения, длительность и общие байты. Метаданные о самом VPN-соединении видны. Метаданные о том, что делаешь внутри — нет.

Сдвиг доверия

VPN не устраняет проблему наблюдателя. Двигает границу доверия.

До VPN провайдер видит всё: IP-назначения, SNI, DNS, паттерны трафика. После VPN провайдер не видит ничего полезного, но VPN-провайдер видит то, что раньше видел провайдер. VPN-провайдер становится новым провайдером в плане приватности.

Является ли это улучшением, зависит исключительно от того, доверяешь ли VPN-провайдеру больше, чем провайдеру. Причины доверять платному VPN-провайдеру больше, чем типичному провайдеру:

  • Бизнес-модель VPN — приватность. Если поймают на логировании или продаже данных, клиенты уйдут. Бизнес-модель провайдера — связь, часто субсидированная ad-таргетингом и продажей данных.
  • Уважаемые VPN имеют privacy-friendly юрисдикции, аудированные no-logs клеймы и ясные политики. Большинство провайдеров — нет.
  • У VPN нет регуляторного мандата хранить данные подключений. У многих провайдеров — есть (UK, Австралия, часть ЕС).

Причины быть осторожным:

  • VPN-провайдер в принципе может всё логировать. Прирост приватности обусловлен их честностью и операционной компетенцией.
  • Бесплатные VPN особенно часто имеют бизнес-модели, монетизирующие данные. Бесплатный VPN обычно — даунгрейд приватности по сравнению с крупным провайдером.
  • Аудированные клеймы стареют. Чистый три года назад провайдер мог сменить владельцев, инфраструктуру или штат.

Конкретно по нам: у нас пока нет независимого стороннего аудита no-logs клеймов. Запланирован на 2026-й, опубликуем результаты полностью. До тех пор мы непроверенный провайдер, просящий доверия, и признаём, что это реальное ограничение. Применяй тот же скепсис к любому провайдеру без аудита.

Когда HTTPS одного хватает

Честная позиция: для многих пользователей в многих ситуациях HTTPS один покрывает то, что их реально волнует.

Если ты дома у провайдера, которому доверяешь, в стране, не агрессивно хранящей или монетизирующей данные провайдера, и тебя не сильно беспокоит, что провайдер знает посещаемые домены — HTTPS обрабатывает модель угроз. VPN добавляет приватность, которую ты лично можешь не ценить, ценой денег и небольшого оверхеда скорости.

Честный кейс для VPN — когда верно одно из:

  • Ты в сети, которую не контролируешь и не доверяешь (отель, кафе, аэропорт, конференция).
  • Провайдер в юрисдикции, хранящей или продающей данные подключений.
  • Есть конкретное направление, которое не хочешь связывать с реальным IP.
  • Хочешь доступа к контенту, гео-блокированному из реальной локации.
  • В стране, фильтрующей или блокирующей части интернета.

Если ничего не подходит — HTTPS один разумен. Текст нужен ли мне VPN разбирает вопрос внимательнее.

Когда HTTPS плюс VPN важно

Вместе покрывают то, что не покрывает каждый поодиночке:

  • HTTPS защищает содержимое страницы от всех, включая VPN-провайдера.
  • VPN защищает метаданные о том, какие страницы загружаешь, от провайдера.
  • HTTPS аутентифицирует, что говоришь с реальным сайтом, не с фейком.
  • VPN защищает от вредоносного локального сетевого атакующего, который иначе видел бы SNI, DNS и форму трафика, даже не читая зашифрованный контент.

Используя вместе, единственные значимые наблюдатели — сам сайт-назначение (видит запрос, потому что это запрос) и VPN-провайдер (видит зашифрованные-к-назначению байты через свой сервер, но не читает внутри HTTPS).

Практические выводы

  • HTTPS необходим, но недостаточен для сетевой приватности.
  • VPN не заменяет HTTPS. Защищают разные вещи на разных слоях.
  • Формулировка «у меня HTTPS, VPN не нужен» предполагает, что единственное, что стоит защищать — содержимое страниц. Метаданные — отдельный вопрос приватности.
  • Формулировка «VPN защищает всё» тоже неверна. VPN сдвигает доверие к провайдеру; не магически шифрует контент, который назначение всё равно увидит.

Если хочешь глубже про то, что провайдер реально видит без VPN — что видит провайдер без VPN. Для широкой картины приватности — Мифы о VPN.

Две технологии — слои в стэке, не конкуренты. Запускай оба.

HTTPS против VPN: нужен ли VPN, если каждый сайт на HTTPS? | Fexyn VPN