FAQ агрегатор

Anatoly Oshmanovsky

Поисковый индекс по 1594 часто задаваемым вопросам из базы знаний. Фильтр по категории или поиск по ключевому слову.

Глоссарий (333)

Зачем нужны если есть canary?

Canary — деploy-time gradual. Feature flags — runtime toggle. Flags живут дольше (недели): progressive rollout + experiments + kill switch.

Источник: Feature Flags — toggle functionality at runtime

Debt feature flags — проблема?

Да. Old flags захламляют code. Лучшая practice: TTL на flag, auto-reminder в PR review через 30 дней.

Источник: Feature Flags — toggle functionality at runtime

Open-source tools?

GrowthBook (free + paid), Unleash (free for 1 project), Flipt. LaunchDarkly — premium SaaS.

Источник: Feature Flags — toggle functionality at runtime

Применимо ли к моему проекту?

См. определение выше. Большинство веб-проектов с trafic > 100 RPS нуждается.

Источник: Reverse proxy — что это и как работает [2026]

Почему не среднее?

Среднее скрывает хвост: 9 запросов по 100 мс + 1 запрос 10 с = avg 1100 мс, P95 = 10 000 мс. Avg выглядит «терпимо», P95 показывает реальную боль.

Источник: P95 латентность — что это и как мерить

P95 vs P99?

P95 — операционная метрика (мониторинг). P99 — SLA-метрика для high-stakes сервисов (платежи). Для большинства веб-API P95 достаточно.

Источник: P95 латентность — что это и как мерить

Сколько данных нужно?

Минимум 100 точек для стабильного P95. На 20 точках цифра скачет. Поэтому 5-минутное окно при ≥20 req/мин даёт надёжный P95.

Источник: P95 латентность — что это и как мерить

Чем отличается от uptime-monitor?

Uptime — внешняя проверка сервиса (HTTP GET). Heartbeat — внутренний пинг от ВАШЕГО кода. Ловит баги, которые uptime пропустит (cron не запустился — нет HTTP-сервера для проверки).

Источник: Heartbeat-monitor (dead-man's switch) — определение

Что если grace period мал?

Алерты сорваны на медленных runs. Дайте 20-30% буфера от длительности нормального run'a. Лучше пропустить 1 секундный glitch, чем словить 10 ложных алармов.

Источник: Heartbeat-monitor (dead-man's switch) — определение

Status=critical работает как?

В enterno.io: monitor сразу переключается в DOWN + триггерит alert-каналы. Полезно для «скрипт упал внутри» — не ждать таймаута.

Источник: Heartbeat-monitor (dead-man's switch) — определение

Islands vs RSC?

Islands: static-first + explicit hydration. RSC: server-first + automatic client boundaries. Astro best для content sites, RSC best для apps.

Источник: Islands Architecture — partial hydration

Bundle size?

Astro типичный blog: 20-50 KB JS. Next.js App Router: 150-300 KB (framework + runtime).

Источник: Islands Architecture — partial hydration

SEO impact?

Static HTML → excellent SEO. Lighthouse score 100 легко достижимый.

Источник: Islands Architecture — partial hydration

FinOps — роль или практика?

Обычно практика, но в large companies — dedicated role. Practitioner знает cloud pricing + engineering + finance.

Источник: FinOps — cloud cost management

Tooling?

AWS Cost Explorer + Cost Anomaly Detection (free). Vendors: CloudHealth (VMware), Apptio Cloudability, nOps. Open-source: OpenCost (Kubernetes), Kubecost.

Источник: FinOps — cloud cost management

Savings ROI?

Typical: 20-40% reduction в первый год. Ценность higher в larger spend (>$10k/мес monthly makes justify).

Источник: FinOps — cloud cost management

Helm или Kustomize?

Helm — packaging + templating. Kustomize — overlay-based без templates. Для distribution (public charts) — Helm. Для simple mono-repo — Kustomize.

Источник: Helm — package manager для Kubernetes

Helm 2 vs Helm 3?

Helm 2 имел Tiller (server component) — security issues. Helm 3 — tiller-less, RBAC-aware. Все используют Helm 3 с 2020.

Источник: Helm — package manager для Kubernetes

Где найти charts?

Artifact Hub (artifacthub.io) — 12k+ charts. Bitnami, Prometheus, Grafana, cert-manager — основные maintainers.

Источник: Helm — package manager для Kubernetes

Jaeger vs Zipkin?

Похожие. Jaeger более active development (Uber/CNCF), Zipkin — старее + simpler UI. Оба поддерживают OpenTelemetry.

Источник: Jaeger — distributed tracing

Storage overhead?

With 1% sampling: 500 req/s app → ~5 traces/s → few GB/day. At higher samples — TB/week.

Источник: Jaeger — distributed tracing

Jaeger alternative?

Grafana Tempo — cheaper (block storage, not DB), integrates с Grafana. Used by DoorDash, Reddit. New stack: Tempo instead of Jaeger.

Источник: Jaeger — distributed tracing

ELK vs Loki?

ELK: full-text indexed, fast search, expensive at scale. Loki: Prometheus-like labels + grep при query time, 10× cheaper. Для high-volume — Loki. Для complex search — ELK.

Источник: Log aggregation — централизация логов

Cost control?

Sampling (drop 90% INFO logs), log level discipline (INFO/WARN/ERROR не DEBUG в prod), TTL (< 30 days hot).

Источник: Log aggregation — централизация логов

Centralize из multi-region?

Ingestion в nearest region + async replication. Или separate stores + federated search (Loki federation, CloudWatch cross-account).

Источник: Log aggregation — централизация логов

Где используется?

Redis Cluster (16384 slots), Memcached client-side sharding, DynamoDB partitioning, Cassandra, Akamai CDN, любые distributed caches.

Источник: Consistent Hashing — distributed sharding

Consistent Hashing vs Range Sharding?

Range — сортируется, easy range queries. Consistent — лучше balance, auto-reshuffle. Для large-scale — consistent.

Источник: Consistent Hashing — distributed sharding

Rendezvous hashing — лучше?

Rendezvous simpler, O(n) per lookup vs O(log n). Для small N — comparable. Для huge clusters — consistent hashing win.

Источник: Consistent Hashing — distributed sharding

CRDT vs Operational Transform?

OT (Google Docs) — server-authoritative, transforms operations. CRDT — peer-to-peer compatible, merging без server. CRDT выигрывает для offline-first.

Источник: CRDT — conflict-free replicated data types

Performance?

Yjs handles thousands edits/sec. Automerge медленнее но более featureful. Both в production (Linear, Figma).

Источник: CRDT — conflict-free replicated data types

Нужно ли для простого todo app?

Нет — overhead. CRDT имеет смысл начиная с collaborative editing или true offline-first UX.

Источник: CRDT — conflict-free replicated data types

Blue-green vs rolling?

Rolling: update pods одна по одной (K8s default). Blue-green: 2 full envs + swap. Blue-green safer для stateful, rolling простой для stateless.

Источник: Blue-Green deployment

Стоимость double infrastructure — worth it?

Во время deploy — yes (часы). Нет необходимости держать постоянно — create Green at deploy time, destroy after success.

Источник: Blue-Green deployment

DB migrations — как?

Schema должна быть backwards-compatible (не drop columns, не rename). Forward-compatible: add nullable columns, defaults.

Источник: Blue-Green deployment

LRU vs LFU — что лучше?

LRU — recent matters. LFU — frequency matters. Для web: LRU обычно win (recency correlates с future access). LFU лучше для static catalog queries.

Источник: LRU Cache — Least Recently Used

Redis LRU реально accurate?

Redis uses approximate LRU для efficiency. Sample 5 keys, evict oldest. Достаточно точный для most use cases.

Источник: LRU Cache — Least Recently Used

TTL vs LRU?

Разное. TTL — absolute expiry (delete after N sec). LRU — eviction при memory pressure. Часто сочетают: TTL на data + LRU для overflow.

Источник: LRU Cache — Least Recently Used

Когда использовать Bloom filter?

Pre-filter перед expensive operations: check before DB query, before CDN miss. Если >95% запросов "not in set" — saves huge load.

Источник: Bloom filter — probabilistic data structure

False positive rate — как выбрать?

Tradeoff: lower FPR = более crupнный filter. 1% FPR = 10 bits/element. 0.1% = 14 bits/element. Выбирайте по downstream cost.

Источник: Bloom filter — probabilistic data structure

Alternative: HyperLogLog?

HLL — count unique elements (cardinality), не membership. Разные задачи.

Источник: Bloom filter — probabilistic data structure

ArgoCD vs Flux?

ArgoCD: better UI, UI-driven adoption. Flux: simpler, native cross-cluster. Enterprise often ArgoCD (UI для devs). Platform teams часто Flux.

Источник: ArgoCD — GitOps для Kubernetes

Multi-cluster?

ArgoCD manages multiple clusters из one UI. Нужны credentials. Alternative — instance per cluster.

Источник: ArgoCD — GitOps для Kubernetes

Scaling limits?

Default configs: ~1000 apps per instance. Large setups — shard controllers по clusters/projects.

Источник: ArgoCD — GitOps для Kubernetes

Turbopack vs Vite?

Turbopack: Rust, tightly coupled с Next.js. Vite: esbuild (Go) + Rollup, universal (React, Vue, Svelte). Для не-Next проектов — Vite.

Источник: Turbopack — Rust-based bundler Next.js

Production ready?

Dev mode — stable в Next.js 15. Production build — alpha (2026). Ждите v16 для full production.

Источник: Turbopack — Rust-based bundler Next.js

Migration из Webpack?

В Next.js — просто флаг --turbo. Для custom Webpack config — не все loaders supported; проверьте compatibility.

Источник: Turbopack — Rust-based bundler Next.js

Нужен ли Service Worker без PWA?

Polезен даже для obычных сайтов: offline-first UX, faster repeat visits через cache.

Источник: Service Worker — offline-first и PWA

Работает ли в Safari?

Да, с iOS 11.3 (2018). Некоторые advanced features (Push) только с iOS 16.4+.

Источник: Service Worker — offline-first и PWA

Как отладить?

DevTools → Application → Service Workers. Можно force update, see fetch events.

Источник: Service Worker — offline-first и PWA

GraphQL vs REST — что быстрее?

GraphQL быстрее для complex UIs (меньше round-trips). REST — для simple CRUD (лучше caching).

Источник: GraphQL — что это и зачем

Как решить N+1 problem?

DataLoader (Facebook): батчинг + caching per-request. Или persistent queries + query whitelisting.

Источник: GraphQL — что это и зачем

Caching сложнее чем REST?

Да. REST — HTTP cache по URL. GraphQL — нужен application-level cache по query. Apollo Client handles это из коробки.

Источник: GraphQL — что это и зачем

Нужно ли мне DKIM?

Если работаете с web-инфраструктурой или API — почти наверняка да. Смотрите статью выше для конкретных случаев.

Источник: DKIM — что это и как работает (2026)

Нужно ли мне SNI?

См. раздел применения выше. Для быстрой проверки — используйте нашу форму.

Источник: SNI (Server Name Indication) — что это и как работает [2026]

Применимо ли к моему проекту?

См. определение выше. Большинство веб-проектов с trafic > 100 RPS нуждается.

Источник: CSRF — что это и как работает [2026]

Нужно ли мне CDN?

Если работаете с веб-инфраструктурой — да. Смотрите описание выше.

Источник: CDN — определение и применение [2026]

Нужно ли мне CORS preflight?

См. раздел применения выше. Для быстрой проверки — используйте нашу форму.

Источник: CORS preflight — что это и как отладить [2026]

Нужно ли мне WAF?

Если работаете с web-инфраструктурой или API — почти наверняка да. Смотрите статью выше для конкретных случаев.

Источник: WAF (Web Application Firewall) — что это (2026)

Нужно ли мне TTL?

Если работаете с web-инфраструктурой или API — почти наверняка да. Смотрите статью выше для конкретных случаев.

Источник: TTL в DNS — что это и как рассчитать (2026)

Нужно ли мне SPF?

Если работаете с web-инфраструктурой или API — почти наверняка да. Смотрите статью выше для конкретных случаев.

Источник: SPF запись — что это и как настроить [2026]

Нужно ли мне SRI (Subresource Integrity)?

См. раздел применения выше. Для быстрой проверки — используйте нашу форму.

Источник: SRI (Subresource Integrity) — защита от supply-chain атак [2026]

Нужно ли мне JWT?

Если работаете с web-инфраструктурой или API — почти наверняка да. Смотрите статью выше для конкретных случаев.

Источник: JWT — что это и как работает (2026)

Нужно ли мне BGP?

См. раздел применения выше. Для быстрой проверки — используйте нашу форму.

Источник: BGP — что это и как работает интернет-маршрутизация [2026]

Нужно ли мне PTR запись (reverse DNS)?

См. раздел применения выше. Для быстрой проверки — используйте нашу форму.

Источник: PTR запись (reverse DNS) — что это [2026]

Нужно ли мне HSTS Preload?

См. раздел применения выше. Для быстрой проверки — используйте нашу форму.

Источник: HSTS Preload List — гайд по включению [2026]

Нужно ли мне NTP?

См. раздел применения выше. Для быстрой проверки — используйте нашу форму.

Источник: NTP (Network Time Protocol) — что это [2026]

Нужно ли мне IPv6?

См. раздел применения выше. Для быстрой проверки — используйте нашу форму.

Источник: IPv6 — что это, чем отличается от IPv4 [2026]

Нужно ли мне MTU?

См. раздел применения выше. Для быстрой проверки — используйте нашу форму.

Источник: MTU — что это, как подобрать правильный [2026]

Применимо ли к моему проекту?

См. определение выше. Большинство веб-проектов с trafic > 100 RPS нуждается.

Источник: Anycast — что это и как работает [2026]

Нужно ли мне CAA запись?

Если работаете с веб-инфраструктурой — да. Смотрите описание выше.

Источник: CAA запись — определение и применение [2026]

Нужно ли мне SRV запись?

См. раздел применения выше. Для быстрой проверки — используйте нашу форму.

Источник: SRV запись DNS — что это и как проверить [2026]

Применимо ли к моему проекту?

См. определение выше. Большинство веб-проектов с trafic > 100 RPS нуждается.

Источник: 503 Service Unavailable — что это и как работает [2026]

Применимо ли к моему проекту?

См. определение выше. Большинство веб-проектов с trafic > 100 RPS нуждается.

Источник: XSS — что это и как работает [2026]

Применимо ли к моему проекту?

См. определение выше. Большинство веб-проектов с trafic > 100 RPS нуждается.

Источник: DNSSEC — что это и как работает [2026]

Применимо ли к моему проекту?

См. определение выше. Большинство веб-проектов с trafic > 100 RPS нуждается.

Источник: Rate limiting — что это и как работает [2026]

Применимо ли к моему проекту?

См. определение выше. Большинство веб-проектов с trafic > 100 RPS нуждается.

Источник: PoP (Point of Presence) — что это и как работает [2026]

Применимо ли к моему проекту?

См. определение выше. Большинство веб-проектов с trafic > 100 RPS нуждается.

Источник: Load balancer — что это и как работает [2026]

Нужно ли мне MIME type?

Если работаете с веб-инфраструктурой — да. Смотрите описание выше.

Источник: MIME type — определение и применение [2026]

Нужно ли мне HTTP/2?

Если работаете с веб-инфраструктурой — да. Смотрите описание выше.

Источник: HTTP/2 — определение и применение [2026]

Применимо ли к моему проекту?

См. определение выше. Большинство веб-проектов с trafic > 100 RPS нуждается.

Источник: DDoS атака — что это и как работает [2026]

Нужно ли мне nginx vs Apache?

Если работаете с веб-инфраструктурой — да. Смотрите описание выше.

Источник: nginx vs Apache — определение и применение [2026]

Нужно ли мне sitemap.xml?

Если работаете с веб-инфраструктурой — да. Смотрите описание выше.

Источник: sitemap.xml — определение и применение [2026]

Нужно ли мне Redirect chain?

Если работаете с веб-инфраструктурой — да. Смотрите описание выше.

Источник: Redirect chain — определение и применение [2026]

Нужно ли мне HTTP/3?

Если работаете с веб-инфраструктурой — да. Смотрите описание выше.

Источник: HTTP/3 — определение и применение [2026]

Нужно ли мне IndexNow?

Если работаете с веб-инфраструктурой — да. Смотрите описание выше.

Источник: IndexNow — определение и применение [2026]

Нужно ли мне TLS 1.3?

Если работаете с веб-инфраструктурой — да. Смотрите описание выше.

Источник: TLS 1.3 — определение и применение [2026]

Edge vs serverless?

Serverless (Lambda): Node.js, 1 region, 100-500ms cold start. Edge: V8 isolates, 300+ regions, 0ms cold start. Edge лучше для latency-critical, Lambda для heavy compute.

Источник: Edge Runtime — JS на edge CDN

Что нельзя в edge?

Native modules (sharp, bcrypt), unbounded file I/O, long-running tasks (>50ms CPU). Используйте serverless Lambda для этих задач.

Источник: Edge Runtime — JS на edge CDN

Подходит для API?

Да для simple APIs (auth middleware, redirects, geolocation). Для complex DB operations — регулярный Node.js lambda.

Источник: Edge Runtime — JS на edge CDN

SRE vs DevOps?

SRE — concrete role (SWE + ops). DevOps — culture + practices. SRE is a way to implement DevOps. Google treats them как distinct; many companies use терминологию interchangeably.

Источник: SRE — Site Reliability Engineering

Для small team — overkill?

Full SRE role — yes для <10 devs. Но principles (SLO, blameless postmortems, toil reduction) применимы в любом размере.

Источник: SRE — Site Reliability Engineering

Required reading?

"Site Reliability Engineering" (2016) + "SRE Workbook" (2018) — free at sre.google/books. Canonical source.

Источник: SRE — Site Reliability Engineering

Istio vs Linkerd?

Istio: more features, Envoy-based (C++), complex config. Linkerd: Rust, lightweight, simpler UX. Для enterprise — Istio. Для < 50 services — Linkerd.

Источник: Istio — service mesh для Kubernetes

Performance overhead?

+3-7 ms latency per hop, +30-100 MB RAM per pod. Acceptable для most but measure на critical paths.

Источник: Istio — service mesh для Kubernetes

Ambient mode — что?

Istio 1.18+ introduced ambient mode — sidecar-less (ztunnel per node). Less overhead, но feature parity still WIP.

Источник: Istio — service mesh для Kubernetes

Чем отличается от классического WASM?

Раньше WASM-модули обменивались только i32/i64/f32/f64 и указателями в shared memory. Component Model даёт rich types.

Источник: WebAssembly Component Model

Есть production use?

Fastly Compute@Edge, Cloudflare Workers (experimental), Spin от Fermyon.

Источник: WebAssembly Component Model

Зачем это вообще?

Language-agnostic микросервисы: написал компонент на Rust, JS/Python/Go его импортируют как родной — без REST/gRPC/сериализации.

Источник: WebAssembly Component Model

Нужен Collector если exporter есть в SDK?

Для prototype — нет, SDK пишет напрямую. Production — да: batching, retry, tail-sampling, cross-signal correlation делает Collector.

Источник: OpenTelemetry Collector

Overhead?

20-50 MB RAM на agent, <1% CPU при 10k spans/sec.

Источник: OpenTelemetry Collector

Contrib vs Core?

Core — только OTel-supported компоненты. Contrib — 100+ community-receivers (Redis, Postgres, K8s events).

Источник: OpenTelemetry Collector

Agent vs chatbot?

Chatbot: single-turn response. Agent: multi-step, uses tools, может искать информацию сам. Blurry boundary — modern chatbots всё больше используют agentic patterns.

Источник: AI Agent — автономный LLM + tools

Reliability?

Agent loops могут заблудиться. Best practice: max_iterations limit, human-in-loop для critical steps, observability via traces.

Источник: AI Agent — автономный LLM + tools

Claude Agent SDK — что?

Anthropic 2025 — SDK для building agents. Включает tools, retrieval, long context (1M tokens), cache. Tight integration с Claude Opus 4+.

Источник: AI Agent — автономный LLM + tools

Что выбрать в 2026?

Axum — разумный default: чистая архитектура, tower-экосистема, активная разработка. Actix — если критична каждая микросекунда.

Источник: Rust web-фреймворки — Axum, Actix, Rocket

Зачем на сервере Rust вместо Go?

Zero-cost abstractions + memory safety. Rust держит latency < 1 ms даже под GC-free нагрузкой; Go имеет паузы GC до 5 ms.

Источник: Rust web-фреймворки — Axum, Actix, Rocket

Async везде?

Да — Tokio умеет multiplex тысячи connections на одном OS-потоке. Без async Rust web не соревнуется с Go/Node.

Источник: Rust web-фреймворки — Axum, Actix, Rocket

WebGPU vs WebGL?

WebGL — только graphics. WebGPU добавляет compute shaders + лучший memory model, зеркалит современные backend API.

Источник: WebGPU — GPU API для web

Можно ли уже использовать?

Для progressive enhancement — да (Chrome 113+). Для production-critical workloads — ждите Firefox stable (2026).

Источник: WebGPU — GPU API для web

ML в браузере?

WebLLM гоняет Llama-7B на RTX 3060 с WebGPU в 20-30 tokens/sec. Не лучше server-side, но удобно для приватных задач.

Источник: WebGPU — GPU API для web

Когда R2 выгоднее S3?

Когда egress > 10% от storage cost (хостинг картинок, видео, статических сайтов). Для rarely-read archival — S3 Glacier дешевле.

Источник: Cloudflare R2 — S3-совместимое хранилище

Minimum retention?

Нет. В отличие от S3 Glacier, удаление бесплатно и моментально.

Источник: Cloudflare R2 — S3-совместимое хранилище

Workers необязательны?

Нет, R2 работает standalone через S3 API. Workers — бонус для transforms/caching.

Источник: Cloudflare R2 — S3-совместимое хранилище

Нужен для монолита?

Если monolithic + 1 DB — нет, обычных логов хватает. С 3+ микросервисами — must-have для debugging.

Источник: Distributed Tracing — трассировка запросов

Sampling overhead?

При 1% sampling — <1% CPU на hot-path. При 100% — 5-10% в high-throughput сервисах.

Источник: Distributed Tracing — трассировка запросов

Difference vs logging?

Логи — текст с контекстом, сортированный по времени. Trace — структурированное дерево с duration в миллисекундах.

Источник: Distributed Tracing — трассировка запросов

WASI vs Docker?

Docker = linux kernel + container runtime. WASI = capability-API, isolation без kernel, cold-start ~1ms vs ~100ms Docker.

Источник: WASI — WebAssembly System Interface

Production-ready?

Для CLI, plugins, serverless — да (Fastly, Shopify). Full web-server на WASI — пока experimental (нет async sockets в preview2).

Источник: WASI — WebAssembly System Interface

Поддержка async?

WASI 0.2 добавляет async (poll_oneoff). Tokio для WASI — в процессе интеграции.

Источник: WASI — WebAssembly System Interface

Когда serverless container vs Lambda?

Container: long-running, большой bundle, GPU, exotic language. Lambda: быстрые HTTP API (<30s), tight bundle, native Node/Python/Go.

Источник: Serverless Containers — Cloud Run, Fargate, Fly

Scale-to-zero опасен?

Для low-traffic APIs — нет (cold-start 2s OK). Для real-time — держите min-instances >= 1.

Источник: Serverless Containers — Cloud Run, Fargate, Fly

Где cheapest для long-running?

Fly.io Machines — $2/month за 256MB/shared CPU. Cloud Run — pay-per-request, у highest idle → дороже.

Источник: Serverless Containers — Cloud Run, Fargate, Fly

RSC vs SSR?

Classic SSR: render HTML на сервере + hydrate весь React client-side. RSC: серверные компоненты НЕ hydrate, только клиентские = меньше JS.

Источник: React Server Components (RSC) — что это

Когда client component?

Когда нужен useState, useEffect, onClick, onChange. Всё остальное — по умолчанию server.

Источник: React Server Components (RSC) — что это

Поддерживаются все фреймворки?

Next.js 13+ (App Router) — production. Remix — planned. Vanilla React — нет (нужен bundler + framework).

Источник: React Server Components (RSC) — что это

Streaming vs full SSR?

Full SSR: wait for entire page → send. Streaming: send as each part готова. Streaming TTFB быстрее на 5-10x для pages с slow data fetches.

Источник: Streaming SSR — прогрессивная отрисовка

Что с SEO?

Googlebot поддерживает streaming chunked. Другие crawlers — могут тронуть timeout. Для bots: подумать о fallback non-streaming route.

Источник: Streaming SSR — прогрессивная отрисовка

CDN edge?

Vercel, Cloudflare, Netlify — все поддерживают edge streaming. Static pages остаются cached, dynamic — stream.

Источник: Streaming SSR — прогрессивная отрисовка

SPA hydration — проблема?

Yes: download 200 KB React + 50 KB your code, execute всё, re-render server HTML. TBT огромный на mobile.

Источник: Partial Hydration — частичная гидратация

Qwik resumability?

Вместо hydration — serialize closures в HTML attributes, lazy-load on event. Zero initial JS для complex apps.

Источник: Partial Hydration — частичная гидратация

Measure?

Lighthouse Speed Index + TBT. Partial hydration drops от 3s → 0.3s на typical blog.

Источник: Partial Hydration — частичная гидратация

Framework Motion replacement?

Для простых page transitions — да. Для complex interactive animations (drag, spring physics) — Framer Motion / GSAP лучше.

Источник: View Transitions API — плавные переходы

Safari support?

Technology Preview 208 (2025) имеет same-document. Production Safari — ещё нет. Firefox: тоже WIP.

Источник: View Transitions API — плавные переходы

SEO impact?

Same-document: no impact (SPA routing). Cross-document: native nav, crawlers видят regular navigation.

Источник: View Transitions API — плавные переходы

Streams vs Promises?

Promise: один result. Stream: последовательность chunks. Для large responses (LLM, file upload) streams critical — не блокируют memory.

Источник: Web Streams API — ReadableStream

Browser support?

100% modern browsers (Chrome 89+, Firefox 102+, Safari 14.5+). Node.js 18+ имеет полный Web Streams API.

Источник: Web Streams API — ReadableStream

Compression Streams?

compressionStream API (2024) — native gzip/deflate через Web Streams. Replaces pako, zlib usage.

Источник: Web Streams API — ReadableStream

Shadow DOM vs iframe?

Shadow: same JS context, same origin, lightweight. iframe: full browsing context, heavyweight, cross-origin isolation. Shadow для widgets, iframe для third-party untrusted content.

Источник: Shadow DOM — инкапсуляция Web Components

React использует?

Обычно нет (React virtual DOM достаточно). Но React web components wrapper может использовать. Material UI v6 опционально.

Источник: Shadow DOM — инкапсуляция Web Components

CSS styling извне?

::part() для exposed parts, :host для host element, CSS custom properties наследуются. Tailwind через ::part — возможно.

Источник: Shadow DOM — инкапсуляция Web Components

Replace bundler?

Для simple projects — да. Для complex apps (tree-shaking, minification, TypeScript) — всё ещё нужен. Dev-only без bundler — рабочий tradeoff.

Источник: Import Maps — JS без bundler

Esm.sh vs skypack?

esm.sh: active, быстрый, aggressive caching. skypack.dev: deprecated (2024). Используйте esm.sh или unpkg.com для 2026.

Источник: Import Maps — JS без bundler

CORS issues?

Modules нуждаются в CORS headers. esm.sh, unpkg, jsdelivr — все OK. Self-host ES modules на CDN с правильными headers.

Источник: Import Maps — JS без bundler

Когда lake, когда warehouse?

Lake: raw / semi-structured, petabytes, ML training data. Warehouse: structured, BI dashboards, fast queries. Lakehouse — универсальный компромисс.

Источник: Data Lake vs Data Warehouse

Cost?

Lake S3: $0.02/GB/мес. Warehouse Snowflake compute: $2-4/credit. Для 10 TB: Lake ~$200 storage, Warehouse ~$4k storage+compute monthly.

Источник: Data Lake vs Data Warehouse

Data swamp проблема?

Lake без governance = swamp. Solutions: data catalog (AWS Glue, Unity Catalog), Iceberg для ACID transactions, schema evolution.

Источник: Data Lake vs Data Warehouse

dbt Core vs Cloud?

Core: free, CLI, self-host. Cloud: SaaS + web IDE + scheduling + docs hosting + CI/CD, $100-200/dev/мес. Для small teams — core + Airflow; enterprise — Cloud.

Источник: dbt — data build tool

Alternatives?

SQLMesh (newer, Python-based), Apache Airflow tasks, Dataform (Google). Для non-SQL ELT: Fivetran/Airbyte + Python.

Источник: dbt — data build tool

Incremental models?

materialized="incremental" + unique_key — dbt детектирует changed rows, runs INSERT/UPDATE только для них. Huge cost savings vs full refresh.

Источник: dbt — data build tool

Iceberg vs Delta Lake?

Iceberg: open (ASF), multi-engine (Spark, Trino, Flink, Snowflake). Delta: Databricks-led, Spark-first. 2025+ convergence (Delta Uniform reads Iceberg).

Источник: Apache Iceberg — table format для lakehouse

Query engines?

Apache Spark, Trino, Dremio, Snowflake, Starburst, Presto, DuckDB, AWS Athena, Google BigQuery. Почти все analytic engines 2025+.

Источник: Apache Iceberg — table format для lakehouse

Production reliable?

Yes — Netflix PB-scale с 2019. Apple, Expedia, Pinterest, Adobe — все используют. ACID delivered, schema evolution tested в prod.

Источник: Apache Iceberg — table format для lakehouse

Parquet vs CSV?

CSV: human-readable, row-oriented, no schema, no compression. Parquet: binary, columnar, schema embedded, 10-100x smaller. Для analytics всегда Parquet.

Источник: Apache Parquet — columnar storage format

Parquet vs ORC?

Similar columnar formats. ORC: Hive ecosystem history, better indexing. Parquet: broader adoption (Spark default). 2026 — Parquet wins.

Источник: Apache Parquet — columnar storage format

Size typical?

CSV 1 GB → Parquet 50-200 MB с Snappy compression (5-20x). ZSTD даёт 2-3x лучше но CPU-cost.

Источник: Apache Parquet — columnar storage format

Avro vs Protobuf?

Avro: schema в message/file, dynamic. Protobuf: schema compiled в code. Protobuf более type-safe, но Avro лучше для streaming с changing schemas.

Источник: Apache Avro — schema-first data format

Когда Avro vs Parquet?

Avro: streaming (Kafka), один message = один record. Parquet: batch analytics, columnar scans. Complement.

Источник: Apache Avro — schema-first data format

Schema Registry нужен?

Для Kafka prod — yes. Enforces schema evolution rules, prevents breaking changes. Confluent Cloud или self-host.

Источник: Apache Avro — schema-first data format

Почему MoE такой тренд?

Позволяет scale parameters дешево (inference cost ~ active params). Frontier models 2025+ — почти все MoE (GPT-4, Claude 3.5, Gemini, DeepSeek R1).

Источник: MoE (Mixture of Experts) — sparse LLM

Fine-tuning MoE?

Сложнее чем dense. LoRA на router + experts отдельно. Requires more data.

Источник: MoE (Mixture of Experts) — sparse LLM

Running MoE locally?

Нужно memory для total params (все experts грузятся). Mixtral 8x7B → 47B × 2 bytes FP16 = 94 GB. INT4 quant → ~26 GB.

Источник: MoE (Mixture of Experts) — sparse LLM

Почему transformer стал доминирующим?

Parallel compute (в отличие от RNN), scales хорошо с params + data, attention захватывает long-range dependencies. Works на любой sequence data.

Источник: Transformer — архитектура LLM

Flash Attention — что?

Оптимизированная implementation self-attention. Использует SRAM efficiently, memory linear (not quadratic). 2-4× faster training. v3 — 2025.

Источник: Transformer — архитектура LLM

Alternatives к transformer?

Mamba / State Space Models (SSM) — linear complexity. Пока uncompetitive с transformers на language, но promising для specific tasks.

Источник: Transformer — архитектура LLM

Long context vs RAG?

RAG: cheaper, extensible к infinite data, but lose semantics на chunk boundaries. Long context: simpler код, but $$ cost + latency. Hybrid обычно best.

Источник: Context Window — что это у LLM

Нужен 2M токенов?

Для code review whole repo, book summary, long document analysis — да. Для chat — 32k-200k достаточно.

Источник: Context Window — что это у LLM

Как оптимизировать?

Prompt caching: 10× cheaper для repeat prefixes. Streaming для UX. Только необходимый context — not whole history.

Источник: Context Window — что это у LLM

Open source LLM?

Llama 3 (Meta), Mistral Large, Qwen 2.5, DeepSeek R1 — free weights, MIT/Apache. Performance приближается к GPT-5.

Источник: LLM (Large Language Model) — что это

Self-host — cost?

70B модель нужен сервер 2× H100 (~$80k) или cloud GPU $5/h. ROI при > 10M tokens/day.

Источник: LLM (Large Language Model) — что это

Hallucinations?

LLM генерирует likely text, не factual. Mitigation: RAG (grounding) + fact-check output + low temperature (0.1-0.3 для facts).

Источник: LLM (Large Language Model) — что это

RAG vs fine-tuning?

RAG: dynamic knowledge, легко обновлять, прозрачно (видны sources). Fine-tune: лучше стиль/тон, фиксированный knowledge. Комбинируются.

Источник: RAG (Retrieval-Augmented Generation)

Наилучший chunk size?

512-1024 токена обычно. Больше — контекст размазывается, меньше — теряется смысл. Test для your corpus.

Источник: RAG (Retrieval-Augmented Generation)

Hallucinations при RAG?

Снижены, но не исключены. Prompt: "Если ответа нет в context — скажи \"Не знаю\"". + chain-of-citations.

Источник: RAG (Retrieval-Augmented Generation)

Cosine vs euclidean?

Cosine (нормализованные vectors) — доминирует для text/nlp. Euclidean — для images/raw features. Dot product — если vectors pre-normalized.

Источник: Vector Embedding — что это

Size matters?

3072 dim ≫ 512 dim в recall на complex queries, но 6x storage + compute. Balance по dataset size + accuracy requirement.

Источник: Vector Embedding — что это

Rerank нужен?

Embedding search — fast but approximate. Rerank (Cohere Rerank, Voyage rerank) — slower, but лучше на top-5. Pipeline: retrieve 50 → rerank top 10.

Источник: Vector Embedding — что это

pgvector vs dedicated vector DB?

pgvector: simplicity (ваш уже Postgres), до ~1M vectors. Dedicated: лучше при >10M, hybrid search, HA. Начинайте с pgvector, migrate если upgrade нужен.

Источник: Vector Database — что это

Qdrant vs Pinecone?

Qdrant: open source, self-host, Rust быстрый, $0 cost. Pinecone: managed, no ops, $70+/mo. Enterprise features: Qdrant Cloud или Pinecone.

Источник: Vector Database — что это

Как monitor?

Enterno Ping для порта 6333 (Qdrant). Monitors для /health endpoint.

Источник: Vector Database — что это

Prompt injection — OWASP?

Да, #1 в OWASP Top 10 for LLM Applications (2024). Serious threat для production chatbots с tool access.

Источник: Prompt Injection — атака на LLM

Можно защититься 100%?

Нет. Prompt injection не fully solvable. Defense in depth: input validation, structured output (JSON schema), rate limit, tool permissions.

Источник: Prompt Injection — атака на LLM

Tools для detection?

Rebuff (Python), Lakera Guard (SaaS), OpenAI Moderation API, NVIDIA NeMo Guardrails, Promptfoo для testing.

Источник: Prompt Injection — атака на LLM

Нужен ли fine-tune?

Если prompt engineering + RAG не дают нужного качества, style или structured output — да. Иначе лучше optimize prompt.

Источник: Fine-tuning LLM — supervised + LoRA

Dataset size?

Минимум 100 examples для ощутимого effect. 1k-10k — рекомендованный range. Больше — diminishing returns.

Источник: Fine-tuning LLM — supervised + LoRA

Cost?

OpenAI gpt-4o-mini FT: $3 за 1M training tokens. Together.ai Llama 70B: ~$10. Full FT 70B в cloud — $500+.

Источник: Fine-tuning LLM — supervised + LoRA

Какой потеря accuracy?

INT8 — <1% perplexity. INT4 — 1-3% (acceptable). INT2 — 5-10% (noticeable).

Источник: Quantization LLM — INT8/INT4

INT4 GGUF — как работает?

Llama.cpp packs weights 4-bit per channel с scale factor. Dequantized on-the-fly в kernel. Minimal speed penalty при compute-bound.

Источник: Quantization LLM — INT8/INT4

Fine-tune quantized model?

QLoRA — да. Training finetunes LoRA adapters (FP16), base model остаётся INT4. 1-stop setup, cheapest fine-tuning.

Источник: Quantization LLM — INT8/INT4

Keyword search — deprecated?

Нет. BM25 отличен для exact-match (code, names, rare words). Hybrid (sparse + dense) лучше чем любой alone.

Источник: Semantic Search — поиск по смыслу

Elasticsearch vs Qdrant?

Elasticsearch: mature, sparse search king, добавил vector в 8+. Qdrant: dense-first, Rust быстрый. Для hybrid — Elasticsearch+vector extension или Weaviate natively.

Источник: Semantic Search — поиск по смыслу

Latency target?

<100ms для interactive search. HNSW ANN index helps, no full scan. Для >1M docs — ок.

Источник: Semantic Search — поиск по смыслу

HNSW vs IVF?

HNSW: best recall + speed, но all в RAM. IVF: cheaper RAM (centroids + buckets), slower recall. Для huge datasets (>100M) — IVF + re-ranking.

Источник: HNSW index — ANN для vectors

HNSW не работает для filtering?

Prefilter может cut graph connectivity. Качественные vector DB (Qdrant, Weaviate) имеют filter-aware HNSW. pgvector 2024 добавил index filtering.

Источник: HNSW index — ANN для vectors

DiskANN альтернатива?

DiskANN — SSD-based ANN. 10× cheaper memory, 2-3× slower. Для billion-scale. Milvus, MyScale поддерживают.

Источник: HNSW index — ANN для vectors

Tool calling reliable?

Модели 2026 (GPT-5, Claude Opus 4.7) — 95%+ accuracy на simple tools. Complex tools (nested schemas) — тестируйте.

Источник: Tool Calling (Function Calling) в LLM

MCP — что?

Model Context Protocol от Anthropic (2024) — standard для exposing tools. Clients (Claude Desktop, Zed IDE) connect к MCP servers (file system, GitHub, Slack, etc).

Источник: Tool Calling (Function Calling) в LLM

Security?

LLM может вызвать не тот tool или с bad args. Authorization проверяйте на сервере, не trust LLM output. Sandbox tool execution.

Источник: Tool Calling (Function Calling) в LLM

Service mesh или API gateway?

Gateway — north-south (ingress). Mesh — east-west (service-to-service). Дополняют друг друга.

Источник: Service Mesh — что это, Istio, Linkerd

Overkill для small cluster?

Для < 10 services — yes. Complexity не окупается. Для 50+ services + mTLS requirement — worth it.

Источник: Service Mesh — что это, Istio, Linkerd

Istio или Linkerd?

Istio: feature-rich, steep learning curve. Linkerd: lightweight Rust, simpler UX. Для starter — Linkerd.

Источник: Service Mesh — что это, Istio, Linkerd

Sidecar vs multi-process container?

Sidecar — separate container (different image + update cycle). Multi-process — все в одном image (anti-pattern в K8s, usage supervisord). Sidecar cleaner.

Источник: Sidecar pattern — контейнерная архитектура

Overhead?

Каждый sidecar adds: ~30-100 MB memory, CPU slice. В 100-pod cluster — significant. Используйте только когда нужно.

Источник: Sidecar pattern — контейнерная архитектура

Common pitfalls?

Sidecar crash → pod kill если restartPolicy: Always. Используйте lifecycle hooks + правильный readiness probe.

Источник: Sidecar pattern — контейнерная архитектура

Envoy vs nginx?

nginx: battle-tested, simple config, strong static file serving. Envoy: better для microservices (gRPC, dynamic config, mesh-ready).

Источник: Envoy — proxy + service mesh data plane

Standalone Envoy — use case?

Front proxy / API gateway (replaces nginx + HAProxy). Или edge proxy для Kubernetes ingress.

Источник: Envoy — proxy + service mesh data plane

Configuration — complex?

Да. Envoy YAML verbose. В service mesh deploys — конфиг генерируется control plane'ом автоматически.

Источник: Envoy — proxy + service mesh data plane

Operator vs Helm chart?

Helm — install + upgrade templates. Operator — on-going management (backup, scale, heal). Operator — higher level of automation.

Источник: Kubernetes Operator — custom controllers

Когда писать свой operator?

Если вы deploy complex stateful app и нужна automation backups, failover, schema migrations. Simple stateless app — Deployment достаточно.

Источник: Kubernetes Operator — custom controllers

Тестирование operators?

Operator SDK имеет e2e test framework. kind/minikube local clusters для testing reconciliation.

Источник: Kubernetes Operator — custom controllers

GitOps vs CI/CD?

Overlap. CI/CD — pipeline, который deploy. GitOps — pattern of operating systems through Git as truth. GitOps часто uses CI для build image + PR to manifest repo.

Источник: GitOps — декларативный deploy через Git

Secrets в Git — как?

НЕ plain. Tools: SealedSecrets (encrypted YAML), External Secrets Operator (sync from Vault), SOPS (Mozilla).

Источник: GitOps — декларативный deploy через Git

Monorepo или split?

Split: app-code repo + manifests repo. Avoids CI reinvocation при manifest-only changes. Популярнее в 2026.

Источник: GitOps — декларативный deploy через Git

Terraform или OpenTofu?

OpenTofu: free, MPL license, Linux Foundation. Terraform: BSL (некоммерческим ok, commercial vendors restricted). Для most teams — OpenTofu safer long-term.

Источник: Terraform — Infrastructure as Code

State management?

Remote backend обязателен для teams: S3 + DynamoDB (lock), Terraform Cloud, или gitlab-managed-terraform-state. Local state = race conditions.

Источник: Terraform — Infrastructure as Code

Terraform vs Pulumi?

Pulumi — IaC на real programming languages (TS, Python, Go). Terraform — HCL DSL. Pulumi better для developers, Terraform для sysadmins.

Источник: Terraform — Infrastructure as Code

OCI vs Docker image?

Synonyms сейчас. Docker donated image format в OCI в 2015. Docker images — OCI images. Некоторые legacy formats (v1 Docker manifest) не OCI, но deprecated.

Источник: OCI image — Open Container Initiative format

Registry choice?

Docker Hub: free но rate-limited (100 pulls/6h anonymous). GHCR: free для public. ECR: $$ но tight AWS integration. Harbor: self-host.

Источник: OCI image — Open Container Initiative format

Signing/verification?

Sigstore (Cosign) — sign OCI artifacts + verify provenance. SBOM (Software Bill of Materials) — attach список deps к image. Policy enforcement — admission controllers.

Источник: OCI image — Open Container Initiative format

CDC vs Event Sourcing?

CDC — capture из existing DB (transparent for apps). ES — DB itself является event log (app writes events). Дополняющие, не synonyms.

Источник: CDC — Change Data Capture

Debezium production-ready?

Да, Red Hat backing. Netflix, Wepay, Shopify в production. Основной gotcha — schema changes require careful handling.

Источник: CDC — Change Data Capture

Alternative — polling?

Проще setup, но miss deletes, high DB load, latency. Debezium log-based — no SELECT на source.

Источник: CDC — Change Data Capture

Materialized view vs regular view?

Regular — virtual, re-computed при каждом query. Materialized — stored, fast read, stale data.

Источник: Materialized view — что это

Refresh frequency?

Balance freshness vs load. For dashboards: 5-15 min. For reports: hourly/daily. Incremental better для high-rate tables.

Источник: Materialized view — что это

Postgres CONCURRENTLY flag?

REFRESH MATERIALIZED VIEW CONCURRENTLY — no lock on читателей. Требует UNIQUE index. Recommended для prod.

Источник: Materialized view — что это

EDA vs request/response?

EDA — async, decoupled. RR — sync, tight coupling. EDA лучше scale, RR проще debug. Most systems — гибрид (EDA для cross-service, RR внутри service).

Источник: Event-driven architecture — EDA

Kafka vs RabbitMQ?

Kafka — high-throughput streams, long retention, replay. RabbitMQ — queues с routing rules. Kafka для analytics/logs, RabbitMQ для task queues.

Источник: Event-driven architecture — EDA

Eventually consistency — как handle?

UI shows optimistic updates + reconciles позже. APIs return pending state. Для banking apps — use saga pattern с compensating actions.

Источник: Event-driven architecture — EDA

WASI vs containers?

WASI: much faster start, smaller (KB vs MB), language-neutral. Containers: больше compatibility с existing software. Для serverless/edge — WASI win.

Источник: WASI — WebAssembly System Interface

Когда production-ready?

Preview 2 released 2024 stable. Fastly, Cloudflare Workers используют внутри. Для mainstream — 2026+.

Источник: WASI — WebAssembly System Interface

Замена containers?

Не замена, а complement. Containers сохранятся для legacy apps. Новые edge functions, plugins, serverless — WASI.

Источник: WASI — WebAssembly System Interface

CQRS vs simple CRUD?

CRUD — один model для чтения и записи. CQRS — разделение, больше кода, но лучше для complex domains. Для simple apps — overkill.

Источник: CQRS — Command Query Responsibility Segregation

Обязателен Event Sourcing?

Нет. CQRS работает и с обычной SQL. Но ES хорошо дополняет — write-side пишет events, read-side materializes views.

Источник: CQRS — Command Query Responsibility Segregation

Как sync read model?

Async через events (Kafka, RabbitMQ). Eventual consistency — read model отстаёт на секунды-минуты.

Источник: CQRS — Command Query Responsibility Segregation

Event Sourcing только для CQRS?

Нет, но часто их combine. ES даёт write-side, CQRS разделяет read и write models.

Источник: Event Sourcing — что это

Как deal с schema changes?

Upcasters: at read time, old event versions transformed до new schema. Или versioned event types (OrderCreated_V1, V2).

Источник: Event Sourcing — что это

Storage size — проблема?

Events накапливаются линейно. Для long-lived streams — snapshots каждые N events. Или archival старых events в cold storage.

Источник: Event Sourcing — что это

Saga vs 2PC?

2PC (XA transactions) — synchronous, locks ресурсы, не масштабируется, редко в cloud. Saga — async, eventual consistency, no locks.

Источник: Saga pattern — распределённые транзакции

Choreography или orchestration?

Choreography для 2-3 services. Orchestration для complex flows (5+ steps) — легче debug и modify.

Источник: Saga pattern — распределённые транзакции

Tool recommendations?

Temporal (temporal.io) — modern, durable execution. Netflix Conductor. AWS Step Functions. For simpler — just messages via Kafka/RabbitMQ.

Источник: Saga pattern — распределённые транзакции

Canary vs blue-green?

Blue-green: instant 100% cut. Canary: gradual %. Canary safer для unknown-risk changes, blue-green faster для confident releases.

Источник: Canary release — постепенный rollout

Для statefull services?

Сложнее — DB migrations + schema compat нужны support обеих versions. Или separate canary не критичный path (backend feature, не DB migration).

Источник: Canary release — постепенный rollout

Какие metrics monitor?

Error rate (HTTP 5xx), p50/p99 latency, custom business (orders/min, conversion). Сравнивайте canary vs control cohort.

Источник: Canary release — постепенный rollout

Observability vs Monitoring?

Monitoring = alerts на предetermined conditions. Observability = ad-hoc investigation через exploration. Overlap большой, но observability deeper.

Источник: Observability — 3 pillars

Нужно ли все 3 pillars?

Минимум: metrics + logs. Traces — когда есть microservices/distributed. В monolith начинаем с first two.

Источник: Observability — 3 pillars

Stack suggestions?

Small team: Datadog (SaaS, all-in-one) или Grafana Cloud (cheaper). Self-host: Prometheus + Loki + Tempo + Grafana (LGTM).

Источник: Observability — 3 pillars

OpenTelemetry vs Datadog agent?

OTel — open standard, vendor-neutral. Datadog agent — vendor-specific, более deep integrations. OTel migration easier if switch vendors.

Источник: OpenTelemetry — observability standard

Производительность overhead?

2-5% CPU overhead с auto-instrumentation. Sampling (1-10% traces) снижает.

Источник: OpenTelemetry — observability standard

Stable release?

Tracing — stable с 2021. Metrics — stable с 2023. Logs — stable с 2024. All three usable в prod.

Источник: OpenTelemetry — observability standard

gRPC vs REST?

gRPC — binary, fast, backed by Protocol Buffers; для internal microservices. REST — text JSON, human-readable, universal для public API.

Источник: gRPC — что это, отличие от REST

Работает ли gRPC в браузере?

Напрямую — нет, т.к. нет доступа к HTTP/2 frame control. Используйте grpc-web (proxy) или gRPC-Gateway (REST-to-gRPC).

Источник: gRPC — что это, отличие от REST

Как отладить gRPC?

grpcurl — curl-like CLI. Или BloomRPC GUI. Enterno HTTP checker помогает с REST-gateway endpoints.

Источник: gRPC — что это, отличие от REST

Passkeys vs WebAuthn?

Passkeys = маркетинговое имя WebAuthn с cross-device sync. Технически одно и то же.

Источник: WebAuthn / Passkeys — безпарольная аутентификация

Нужна ли новая инфраструктура?

Нет — WebAuthn работает на стандартных HTTPS sites. Нужен только JS API + backend validation.

Источник: WebAuthn / Passkeys — безпарольная аутентификация

Заменит ли пароли?

Постепенно. Gmail, Apple, GitHub уже поддерживают. 2026: ~15% активных users используют passkeys.

Источник: WebAuthn / Passkeys — безпарольная аутентификация

Нужен ли PKCE для confidential clients (server-side)?

Рекомендуется (OAuth 2.1 draft), но не обязателен. Для public clients (SPA, mobile) — mandatory.

Источник: PKCE — Proof Key for Code Exchange

Поддерживают ли все providers?

Все major: Google, GitHub, Microsoft, Auth0, Okta, Keycloak. Yandex OAuth — с 2022.

Источник: PKCE — Proof Key for Code Exchange

Plain vs S256 method?

Только S256 (SHA-256) в production. Plain (verifier=challenge) legacy и небезопасный.

Источник: PKCE — Proof Key for Code Exchange

Где хранить refresh token?

Server-side: session/database. Client-side: httpOnly + Secure + SameSite=Strict cookie. Никогда localStorage — XSS vulnerability.

Источник: Refresh Token — что это

Что делать при подозрении utечки?

Revoke all refresh tokens user через DELETE /tokens WHERE user_id=X. User должен relogin.

Источник: Refresh Token — что это

Refresh rotation — обязательно?

Best practice. Особенно для SPA. OAuth 2.1 draft требует rotation.

Источник: Refresh Token — что это

IndexedDB vs localStorage?

localStorage — 5-10 MB, sync, string-only. IndexedDB — гигабайты, async, structured objects + indexes.

Источник: IndexedDB — браузерная NoSQL-база

Можно ли mobile?

Да, все modern browsers (Safari iOS, Chrome Android). Safari частично ограничен в PWA context.

Источник: IndexedDB — браузерная NoSQL-база

Eviction — пропадёт ли моя data?

При нехватке disk space — да. Для critical data используйте navigator.storage.persist().

Источник: IndexedDB — браузерная NoSQL-база

WebSocket или SSE?

WebSocket — bidirectional (сервер и клиент обе шлют). SSE — одноcторонние (только server→client). SSE проще и работает через HTTP, WebSocket быстрее.

Источник: WebSocket — real-time bidirectional

Как обрабатывать disconnect?

Implement reconnect с exponential backoff. Socket.IO делает это автоматически.

Источник: WebSocket — real-time bidirectional

Масштабирование?

Один Node.js handles 10k+ concurrent WebSockets. Для 100k+ — Redis pub/sub между instances или managed service (Ably, Pusher).

Источник: WebSocket — real-time bidirectional

Когда использовать SSE вместо WebSocket?

Server-only push (notifications, live feed). Проще кода, работает через proxy. Для chat/games нужен WebSocket.

Источник: SSE — Server-Sent Events

Reconnect — автоматический?

Да. Browser сам переподключается с exponential backoff + отправляет Last-Event-ID.

Источник: SSE — Server-Sent Events

HTTP/1.1 limit 6 connections — проблема?

Для dashboard с 10+ SSE feeds — да. Используйте один multiplex endpoint или мигрируйте на HTTP/2/3.

Источник: SSE — Server-Sent Events

mTLS vs API-key?

mTLS — cryptographic proof ownership private key. API-key — строка, уязвимая к leak. mTLS безопаснее, но сложнее в rotation.

Источник: mTLS — взаимная TLS-аутентификация

Как распространять client certs?

Automated issuance через internal CA (Vault, Smallstep), ротация каждые 30-90 дней. Для external partners — manual process.

Источник: mTLS — взаимная TLS-аутентификация

Работает ли в браузерах?

Да. Browser показывает UI выбора cert из OS store. Chrome + macOS — TouchID для unlock.

Источник: mTLS — взаимная TLS-аутентификация

JWK vs x509 PEM cert?

JWK — JSON, легко парсится в JS/Python. PEM — traditional base64. JWT с JWKS = standard OAuth path.

Источник: JWK — JSON Web Key

Как ротировать keys?

Generate new key → publish в JWKS с новым kid → wait 30 days пока clients обновят cache → remove old.

Источник: JWK — JSON Web Key

Как проверить JWT с JWKS?

Library типа jose (Node), python-jose, PHP firebase/php-jwt с getKeyById callback.

Источник: JWK — JSON Web Key

Почему HMAC а не просто shared secret в header?

Secret в header = посланный в plain. HMAC подписывает body, secret не передаётся по сети.

Источник: Webhook signing — HMAC подпись

Replay attack защита?

Timestamp + nonce в payload. Receiver проверяет что timestamp свежий (5 min window) и nonce не использован.

Источник: Webhook signing — HMAC подпись

Какие providers используют?

Stripe (Stripe-Signature), GitHub (X-Hub-Signature-256), Slack (X-Slack-Signature), Telegram (X-Telegram-Bot-Api-Secret-Token), YooKassa.

Источник: Webhook signing — HMAC подпись

Token bucket vs sliding window?

Token bucket: простой O(1), допускает burst. Sliding window: precise count в any time window, но O(log n) или overhead Redis sorted set.

Источник: Token Bucket — алгоритм rate limiting

Как выбрать параметры?

Average rate (r) — ваш target RPS. Capacity — typical burst (10-30 sec worth). E.g. 10 req/sec average + 300 capacity = 30 sec burst.

Источник: Token Bucket — алгоритм rate limiting

Rate limit per-IP или per-user?

Оба. per-IP защищает от anonymous abuse. per-user — от credential stuffing после login.

Источник: Token Bucket — алгоритм rate limiting

Как измерить SLI uptime?

Синтетические probes (Enterno monitors) каждую минуту. 30-дневное окно. Успех = HTTP 2xx/3xx + response time < threshold.

Источник: SLI / SLO / SLA — различия

Нужен ли SLA для маленькой команды?

Internal SLO — всегда. SLA — только если customer требует (enterprise, compliance).

Источник: SLI / SLO / SLA — различия

Что делать когда error budget исчерпан?

Feature-freeze, postmortem, reliability work пока budget не восстановится. Это основной value error-budget подхода.

Источник: SLI / SLO / SLA — различия

Почему не средний (mean)?

Mean искажается outliers. p50/p95/p99 более stable и отражают user experience.

Источник: p99 latency — что это и зачем

Как измерять на маленьком трафике?

Histogram с bucket'ами (Prometheus, DataDog). С 100 req/день p99 = worst-1, что шумно. Используйте p95 + weekly rolling.

Источник: p99 latency — что это и зачем

Как улучшить p99?

1) Cache hit ratio. 2) Connection pools (DB, Redis). 3) Circuit breakers. 4) Timeout + retry + jitter. 5) Async I/O.

Источник: p99 latency — что это и зачем

RSC vs SSR?

SSR — HTML rendering на сервере, потом full JS bundle hydrates. RSC — component code остаётся на сервере, клиент получает только payload без JS.

Источник: React Server Components (RSC) 2026

Поддерживают ли все React frameworks?

Next.js (App Router) — первый. Remix, TanStack Start следуют. Vanilla React не supports без framework.

Источник: React Server Components (RSC) 2026

Можно ли use hooks?

В Server Components — нет (no state). В Client Components — да (useState, useEffect, etc.).

Источник: React Server Components (RSC) 2026

Server Actions vs API routes?

Server Actions — short-lived, вызываются из компонента, type-safe, RPC-like. API routes — public endpoints для external clients.

Источник: Server Actions (Next.js) — 2026

Безопасны ли?

Требуется re-validate auth + input внутри action. Next.js добавляет CSRF protection автоматически. Но всегда проверяйте ownership (IDOR).

Источник: Server Actions (Next.js) — 2026

Работают без JavaScript?

Да! Если form action — Server Action, submit работает через native form POST без JS. Progressive enhancement.

Источник: Server Actions (Next.js) — 2026

Нужен ли DMARC если есть SPF и DKIM?

Да. SPF/DKIM только аутентифицируют. DMARC говорит получателю что делать если они fail — без DMARC получатель сам решает (часто принимает).

Источник: DMARC — что это и как работает в 2026

С чего начать?

Всегда с p=none и rua=mailto:. Монитор 2 недели, затем quarantine pct=25, потом 100, потом reject.

Источник: DMARC — что это и как работает в 2026

Есть ли стоимость?

DMARC бесплатен. Агрегаторы отчётов типа dmarcian предоставляют free tier для маленьких доменов.

Источник: DMARC — что это и как работает в 2026

Обязательно ли включать OCSP Stapling?

Не технически, но strongly recommended. Ускорение +100-300ms и защита приватности пользователей.

Источник: OCSP и OCSP Stapling — что это и как работает

Работает с Let's Encrypt?

Да, полностью. Let's Encrypt выдаёт OCSP responses через их OCSP responder ocsp.int-x3.letsencrypt.org.

Источник: OCSP и OCSP Stapling — что это и как работает

Что такое CRL и чем отличается?

CRL (Certificate Revocation List) — список всех отозванных сертификатов CA. OCSP запрашивает статус одного сертификата — быстрее и легче.

Источник: OCSP и OCSP Stapling — что это и как работает

OAuth 2.0 vs OpenID Connect?

OAuth 2.0 — авторизация (что можно). OpenID Connect — слой поверх для аутентификации (кто пользователь) через id_token (JWT).

Источник: OAuth 2.0 — что это, flow типы, отличие от JWT

Implicit flow ещё используется?

Нет, с 2019 OAuth 2.1 draft и большинство рекомендаций — deprecated. Замена: Authorization Code + PKCE.

Источник: OAuth 2.0 — что это, flow типы, отличие от JWT

Access token — это JWT?

Может быть, но не обязано. OAuth спецификация не требует формата. Многие провайдеры (Google, Auth0) возвращают JWT для удобства клиента.

Источник: OAuth 2.0 — что это, flow типы, отличие от JWT

Webhook или polling?

Webhook = почти realtime + меньше нагрузки на обе стороны. Polling = проще для тестов + работает через firewall (outgoing only). Для production — webhook.

Источник: Webhook — что это и как работает в 2026

Как проверить что webhook от того сервиса?

Проверяйте HMAC-подпись через shared secret. Stripe/YooKassa документируют конкретный алгоритм (обычно HMAC-SHA256).

Источник: Webhook — что это и как работает в 2026

Что делать если receiver был down?

Сервис должен retry 3-5 раз с exponential backoff. После финального fail — сохранить в dead-letter queue.

Источник: Webhook — что это и как работает в 2026

Когда INP заменил FID?

С 12 марта 2024. FID (First Input Delay) мерил только задержку первого клика. INP учитывает все взаимодействия — точнее отражает реальный UX.

Источник: Core Web Vitals — LCP, INP, CLS в 2026

Влияют ли CWV на ранжирование?

Да. Google подтвердил использование CWV как фактор с 2021. Влияние ~5-10% при прочих равных.

Источник: Core Web Vitals — LCP, INP, CLS в 2026

Как проверить CWV своего сайта?

PageSpeed Insights (Google) или Enterno Speed — оба используют CrUX field data.

Источник: Core Web Vitals — LCP, INP, CLS в 2026

Edge computing vs CDN?

CDN = static caching + network. Edge computing = CDN + execution. Edge computing включает CDN, но CDN это только часть.

Источник: Edge Computing — что это и зачем нужно

Зачем если есть Kubernetes в multi-region?

Multi-region K8s — десятки datacenters. Edge — сотни. Плюс edge-платформы управляют deploy-ом за вас (git push → live globally).

Источник: Edge Computing — что это и зачем нужно

Есть ли российские edge-провайдеры?

Yandex Cloud Functions (не edge-native, но регионально распределённые). Selectel Object Storage + CDN. Для истинного edge — Cloudflare (работает в RU через Tier 2 ISP).

Источник: Edge Computing — что это и зачем нужно

Zero Trust vs VPN?

VPN даёт доступ ко всей внутренней сети. Zero Trust — доступ только к конкретным приложениям с per-request проверкой. ZT строже.

Источник: Zero Trust — что это и как работает в 2026

Кто ввёл термин?

John Kindervag (Forrester, 2010). Google независимо реализовал концепцию в BeyondCorp с 2011.

Источник: Zero Trust — что это и как работает в 2026

Обязательно ли покупать vendor?

Нет. Принципы можно реализовать на комбинации IdP (Okta/Google) + ALB/API Gateway + RBAC в приложениях.

Источник: Zero Trust — что это и как работает в 2026

Зачем вообще Idempotency-Key?

Сетевой retry: сервер принял POST, обработал, но ответ потерялся в пути. Клиент думает "не прошло, повторю" → дубль. Idempotency-Key защищает от этого.

Источник: Idempotency (идемпотентность) в API — что это

Как долго хранить ключи?

Stripe хранит 24 часа. Этого достаточно для retry-окна и не раздувает DB.

Источник: Idempotency (идемпотентность) в API — что это

GET идемпотентен даже с rate limiting?

Да. Rate limit ≠ не-идемпотентность. Запрос либо разрешается и возвращает данные, либо отбивается с 429 — в обоих случаях state не меняется.

Источник: Idempotency (идемпотентность) в API — что это

Что если robots.txt недоступен?

Google продолжает crawl как обычно, Yandex — тоже. Но если robots.txt вернул 5xx — Google останавливает crawl на 12 часов. Держите 200 или 404.

Источник: robots.txt — что это и как работает

Robots.txt скрывает страницу от индексации?

Нет. Disallow запрещает **обход**, но не попадание в индекс (через внешние ссылки страница может быть indexed без контента). Для индексации — используйте meta noindex.

Источник: robots.txt — что это и как работает

Wildcard работают?

В основных ботах да: Disallow: /*.pdf$. Стандарт (RFC 9309) формализует wildcard.

Источник: robots.txt — что это и как работает

Влияет ли TLD на SEO?

Косвенно. .com чуть сильнее для глобального SEO, ccTLD (.ru) — для geo-targeting в РФ. Google официально: "не имеет значения если контент и ссылки хорошие".

Источник: TLD — top-level domain, зона .ru, .com, .io

Что такое 2LD и 3LD?

Second-level domain — перед TLD (example в example.com). Third-level domain — subdomain (api в api.example.com).

Источник: TLD — top-level domain, зона .ru, .com, .io

Почему .io стал популярным?

Короткий, играет на input/output в tech. В 2024 UK hand-over

Источник: TLD — top-level domain, зона .ru, .com, .io

Чем CNAME запись отличается от других DNS/HTTP концепций?

Смотрите полный разбор в основной статье выше. Для быстрой проверки — используйте наш онлайн-чекер.

Источник: CNAME запись — что это такое простыми словами [2026]

Нужно ли ручное обновление?

Обычно нет — большинство современных сервисов настраивают автоматически. Ручная настройка нужна только при миграции или когда используется экзотическая конфигурация.

Источник: CNAME запись — что это такое простыми словами [2026]

Чем HSTS отличается от других DNS/HTTP концепций?

Смотрите полный разбор в основной статье выше. Для быстрой проверки — используйте наш онлайн-чекер.

Источник: HSTS — что это и как настроить [2026]

Нужно ли ручное обновление?

Обычно нет — большинство современных сервисов настраивают автоматически. Ручная настройка нужна только при миграции или когда используется экзотическая конфигурация.

Источник: HSTS — что это и как настроить [2026]

Чем MX запись отличается от других DNS/HTTP концепций?

Смотрите полный разбор в основной статье выше. Для быстрой проверки — используйте наш онлайн-чекер.

Источник: MX запись DNS — что это и как проверить [2026]

Нужно ли ручное обновление?

Обычно нет — большинство современных сервисов настраивают автоматически. Ручная настройка нужна только при миграции или когда используется экзотическая конфигурация.

Источник: MX запись DNS — что это и как проверить [2026]

Чем CORS отличается от других DNS/HTTP концепций?

Смотрите полный разбор в основной статье выше. Для быстрой проверки — используйте наш онлайн-чекер.

Источник: CORS — что это и как настроить [2026]

Нужно ли ручное обновление?

Обычно нет — большинство современных сервисов настраивают автоматически. Ручная настройка нужна только при миграции или когда используется экзотическая конфигурация.

Источник: CORS — что это и как настроить [2026]

Чем CSP отличается от других DNS/HTTP концепций?

Смотрите полный разбор в основной статье выше. Для быстрой проверки — используйте наш онлайн-чекер.

Источник: Content Security Policy (CSP) — что это и как настроить [2026]

Нужно ли ручное обновление?

Обычно нет — большинство современных сервисов настраивают автоматически. Ручная настройка нужна только при миграции или когда используется экзотическая конфигурация.

Источник: Content Security Policy (CSP) — что это и как настроить [2026]

How-to гайды (305)

Нужна регистрация?

Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.

Источник: Как исправить 404 ошибки на сайте [2026]

Зачем интервал 60 с, не 5 с?

API uptime — это «работает в среднем», не «работает прямо сейчас». 5-секундный чек × миллион = perf hit на API + лимиты вашего monitor-плана. 60 с с 3-fail threshold = 3-минутная детекция инцидента — обычно достаточно.

Источник: Как мониторить uptime API (HTTP-чек, статус-коды, time-out)

Что если health-endpoint всегда 200?

Бесполезен — проверяете только что PHP-FPM жив. Реальный health должен пинговать DB, Redis, S3, очереди. Cost: ~10-50 мс per check. Бенефит: ловите частичные деградации.

Источник: Как мониторить uptime API (HTTP-чек, статус-коды, time-out)

Multi-region обязательно?

Нет, но рекомендуется для production. Single-region = один false-positive на сетевой инцидент ISP убьёт on-call ночью. Multi-region + 2-of-3 правило = >95% точность.

Источник: Как мониторить uptime API (HTTP-чек, статус-коды, time-out)

Почему 4 сигнала, не 1?

Атаки разной природы: prompt-injection ловится blocked_pct, jailbreak — safety_pct, DoS — top_user_rps, cost-attack — spend_hour. Один сигнал даст false-negatives на других векторах.

Источник: Как настроить мониторинг безопасности LLM-приложения

Baseline где брать?

Из исторических данных за «нормальную» неделю. Если данных нет — заведите monitoring без алертов на 1-2 недели, потом ставьте threshold = 2× медианы.

Источник: Как настроить мониторинг безопасности LLM-приложения

А WAF не достаточно?

WAF режет известные шаблоны (regex). LLM-атаки часто новые и контекстные — нужен behavioral monitoring. WAF + behavioral = defense-in-depth.

Источник: Как настроить мониторинг безопасности LLM-приложения

Зачем отдельно мерить TTFT?

Для streaming-ответов end-to-end время — это длина ответа × throughput. TTFT (~200-500 мс) показывает реальное «время до первого слова», что важнее для UX чат-ботов.

Источник: Как мониторить латентность LLM API (OpenAI, Anthropic, Yandex)

Что считать аномалией?

Не разовый спайк, а P95 > 2× baseline за 5 мин ИЛИ error_rate > 2% за 5 мин. Single-point алерты дадут 20+ false-positive в день.

Источник: Как мониторить латентность LLM API (OpenAI, Anthropic, Yandex)

Какой бюджет на синтетические чеки?

60-секундный «ping» × 5 моделей × 30 дней ≈ $0.05/мес на OpenAI gpt-4o-mini. На Anthropic ~$0.15/мес. Yandex Lite — free tier хватает.

Источник: Как мониторить латентность LLM API (OpenAI, Anthropic, Yandex)

Почему regex недостаточно?

Атакующий заменит "ignore" на "I-G-N-O-R-E" или переведёт на другой язык. Regex ловит низковисящий фрукт, embedding-фильтр + LLM-judge закрывают остальное.

Источник: Как обнаружить prompt injection в LLM-приложении

Embedding-фильтр сильно тормозит?

Один embeddings-вызов ≈ 50-100 мс. Кешируйте по хешу input для повторных запросов. Для high-RPS — pre-compute embeddings корпуса jailbreaks офлайн.

Источник: Как обнаружить prompt injection в LLM-приложении

Что делать при детекции?

Не отвечать содержимым → вернуть generic-сообщение → инкрементировать heartbeat-counter «blocked» → лог IP/user_id для последующего ban-флоу при повторах.

Источник: Как обнаружить prompt injection в LLM-приложении

Почему мало hard cap провайдера?

Cap сработает уже после биллинг-цикла — может быть 10-15 мин задержки. За это время prompt-loop сожрёт $1000+. Soft alert каждые 5 мин ловит спайк до cap.

Источник: Как настроить алерты на расходы LLM API (бюджет-кап + аномалии)

Как защититься от runaway атаки?

Per-user rate limit (5 req/мин), max_tokens бюджет на пользователя в день, IP-ban при > 3 hot аларма подряд. Hard cap провайдера — последняя линия защиты, не первая.

Источник: Как настроить алерты на расходы LLM API (бюджет-кап + аномалии)

Какой baseline бюджета?

Для chat-бота: ($/req × среднее RPS × 86400). gpt-4o-mini ~$0.0005/req × 1 RPS × 86400 = ~$43/день. Алерт на 120% от baseline.

Источник: Как настроить алерты на расходы LLM API (бюджет-кап + аномалии)

Нужна ли регистрация?

Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.

Источник: Как настроить DMARC для домена [2026]

Нужна регистрация?

Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.

Источник: Как продлить Let's Encrypt сертификат [2026]

Нужна регистрация?

Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.

Источник: Как включить HSTS на сайте (nginx/Apache) [2026]

Нужна регистрация?

Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.

Источник: Как проверить HTTP-заголовки сайта онлайн [2026]

Нужна ли регистрация?

Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.

Источник: Как проверить CORS настройку API [2026]

Нужна регистрация?

Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.

Источник: Как проверить скорость сайта онлайн [2026]

Нужна ли регистрация?

Для базовой проверки (1-2 запроса в минуту) — нет. Для continuous-мониторинга — бесплатный аккаунт. Без кредитной карты.

Источник: Как проверить SSL-сертификат онлайн бесплатно (2026)

Бесплатно ли это?

Да. Enterno.io Scout (Разведчик) — бесплатный план на {plan:free:monitors} мониторов навсегда. Все базовые инструменты без регистрации.

Источник: Как проверить SSL-сертификат онлайн бесплатно (2026)

Нужна ли регистрация?

Для базовой проверки (1-2 запроса в минуту) — нет. Для continuous-мониторинга — бесплатный аккаунт. Без кредитной карты.

Источник: Как проверить DNS-записи домена онлайн (2026)

Бесплатно ли это?

Да. Enterno.io Scout (Разведчик) — бесплатный план на {plan:free:monitors} мониторов навсегда. Все базовые инструменты без регистрации.

Источник: Как проверить DNS-записи домена онлайн (2026)

Нужна ли регистрация?

Для базовой проверки (1-2 запроса в минуту) — нет. Для continuous-мониторинга — бесплатный аккаунт. Без кредитной карты.

Источник: Как проверить открытые порты сервера онлайн (2026)

Бесплатно ли это?

Да. Enterno.io Scout (Разведчик) — бесплатный план на {plan:free:monitors} мониторов навсегда. Все базовые инструменты без регистрации.

Источник: Как проверить открытые порты сервера онлайн (2026)

Нужна ли регистрация?

Для базовой проверки (1-2 запроса в минуту) — нет. Для continuous-мониторинга — бесплатный аккаунт. Без кредитной карты.

Источник: Как настроить мониторинг uptime сайта (2026)

Бесплатно ли это?

Да. Enterno.io Scout (Разведчик) — бесплатный план на {plan:free:monitors} мониторов навсегда. Все базовые инструменты без регистрации.

Источник: Как настроить мониторинг uptime сайта (2026)

Нужна ли регистрация?

Для базовой проверки (1-2 запроса в минуту) — нет. Для continuous-мониторинга — бесплатный аккаунт. Без кредитной карты.

Источник: Как исправить SSL-ошибки браузера (2026 гайд)

Бесплатно ли это?

Да. Enterno.io Scout (Разведчик) — бесплатный план на {plan:free:monitors} мониторов навсегда. Все базовые инструменты без регистрации.

Источник: Как исправить SSL-ошибки браузера (2026 гайд)

pgvector достаточно?

До 1M vectors — да. Embedded в Postgres = single DB, transactional. Больше 10M — dedicated vector DB.

Источник: Как развернуть Vector Database — 2026

Qdrant vs Weaviate?

Qdrant: focus на vectors, fast Rust. Weaviate: hybrid search built-in, modular. Для pure vector — Qdrant. Для hybrid — Weaviate.

Источник: Как развернуть Vector Database — 2026

Backup / HA?

Qdrant: snapshot API, multi-region replication (Enterprise). pgvector: стандартный Postgres backup (pg_dump, WAL).

Источник: Как развернуть Vector Database — 2026

Как monitor uptime?

Enterno Ping для порта 6333/5432. Monitors для /health endpoint + alerts.

Источник: Как развернуть Vector Database — 2026

Loki vs Elasticsearch?

Loki: index labels only (not log content), cheap ($0.50/GB), Grafana-native. Elasticsearch: full-text index, expensive ($5/GB), powerful search. Для most — Loki enough.

Источник: Как настроить structured logging — JSON logs

Logs vs traces?

Logs: discrete events ("Error in checkout"). Traces: request flow + timing. Modern: logs include trace_id → cross-reference.

Источник: Как настроить structured logging — JSON logs

Retention?

Hot (instant search): 7-30 days. Warm (S3): 90 days. Cold (Glacier): 1+ год для compliance.

Источник: Как настроить structured logging — JSON logs

Enterno logging?

Enterno использует PSR-3 compatible + Papertrail backend. Для end-users — monitor endpoint covers availability.

Источник: Как настроить structured logging — JSON logs

Как увидеть queries real-time?

SELECT * FROM pg_stat_activity WHERE state = 'active'; — live queries. С PID можно canсel: SELECT pg_cancel_backend(pid);

Источник: Как найти и исправить медленные запросы Postgres

VACUUM ANALYZE — когда?

Autovacuum делает автоматически. Manual нужен после bulk insert/update — refresh stats для query planner.

Источник: Как найти и исправить медленные запросы Postgres

Connection pooling — PgBouncer или application-level?

Application pool (node-pg-pool) — per-app. PgBouncer — cluster-wide, shared. Production — PgBouncer (1000 app connections → 25 Postgres).

Источник: Как найти и исправить медленные запросы Postgres

Slow на 10 GB DB — индексы или scale?

Сначала indexes (часто 100× improvement). Scale (replicas, shards) — после exhausting query optimization.

Источник: Как найти и исправить медленные запросы Postgres

Когда нужен Redis Cluster?

Data >5 GB или >100k ops/sec. Меньше — single master + replica + Sentinel достаточно.

Источник: Как настроить Redis Cluster — 2026

Cluster vs Sentinel?

Sentinel — HA (1 master + replicas, automatic failover). Cluster — scaling (sharded across masters). Разные задачи.

Источник: Как настроить Redis Cluster — 2026

Managed alternatives?

AWS ElastiCache (Cluster mode), Redis Cloud (Redis Labs), Yandex Managed Redis. Обычно $50-500/мес vs $0 self-host но 20+ hours/month maintenance.

Источник: Как настроить Redis Cluster — 2026

Migrate from single Redis?

Write dual (old + new), read от single → migrate reads batch → cut write. Или use Redis-shake tool для bulk copy.

Источник: Как настроить Redis Cluster — 2026

GitHub Push Protection — что это?

Bloom filter + regex detection commits на push. Ловит AWS, Stripe, Google, OpenAI keys и другие common patterns. Включается в repo settings.

Источник: Как защитить API keys — 2026

Как узнать что key leaked?

Scan history: trufflehog. Monitor provider alerts (AWS CloudTrail, Stripe webhook). Enable Secret Scanning в GitHub (free для public repos).

Источник: Как защитить API keys — 2026

Vault, AWS SM, или .env?

.env для local dev + staging. Vault/SM для production — enable audit, rotation, fine-grained access. Для early-stage — AWS SM cheap и safe.

Источник: Как защитить API keys — 2026

Client-side keys (e.g. Google Maps)?

Restrict by referer/origin. Google Maps key bound to *.example.com — attacker domain useless. Не 100% защита но raises bar.

Источник: Как защитить API keys — 2026

Cloudflare действительно free?

Yes, unlimited bandwidth, 100k req/s, DDoS protection, SSL. Paid добавляет: больше rules, WAF advanced, analytics depth, prioritization.

Источник: Как подключить Cloudflare CDN к сайту — 2026

Origin всё ещё доступен напрямую?

Yes если IP известен. Hide через Cloudflare Tunnel (cloudflared) — no public IP needed. Или firewall whitelist CF IPs only.

Источник: Как подключить Cloudflare CDN к сайту — 2026

Работает в РФ?

Cloudflare доступен, но могут быть routing issues с Tier-2 ISP. Для primary RU audience — Yandex Cloud CDN может быть faster.

Источник: Как подключить Cloudflare CDN к сайту — 2026

Как очистить cache?

Dashboard → Caching → Purge Cache → all files или specific URLs. API tool:

curl -X POST "https://api.cloudflare.com/client/v4/zones/ZONE_ID/purge_cache" -H "Authorization: Bearer TOKEN" -d '{"purge_everything":true}'

Источник: Как подключить Cloudflare CDN к сайту — 2026

Blameless postmortem?

Culture + written standard. Фокус на системе, не на человеке. "Что разрешило произойти этому багу?" вместо "кто накосячил".

Источник: Как провести incident response

Как быстро писать postmortem?

SEV-1: 48 часов. SEV-2: неделя. SEV-3: опционально. Timeboxing важнее глубины.

Источник: Как провести incident response

Автоматизация IR?

PagerDuty / Opsgenie — для on-call routing. Jeli, incident.io — full incident platforms. Slack Workflow Builder для простых команд.

Источник: Как провести incident response

Когда менять allkeys-lru → allkeys-lfu?

Если рабочая нагрузка — чёткая hot/cold partition (часть ключей читают вечно, другие — редко). LFU выигрывает для classic skewed workload.

Источник: Как настроить память Redis

Можно ли Redis в production без persistence?

Да для чистого cache (session, counter). Если данные не восстановимы — включите AOF everysec.

Источник: Как настроить память Redis

Sharding или Cluster?

Redis Cluster — встроенный sharding (up to 1000 nodes). Для < 100 GB чаще sentinel + sharding в application.

Источник: Как настроить память Redis

Ingress vs Service LoadBalancer?

LoadBalancer — 1 external IP на Service (дорого в cloud). Ingress — один LB на весь кластер + L7-роутинг в несколько Services.

Источник: Как настроить Ingress в Kubernetes

Gateway API нужен?

Для новых кластеров — рассмотрите. Для existing — Ingress стабилен и production-grade, миграция не приоритет.

Источник: Как настроить Ingress в Kubernetes

cert-manager обязателен?

Нет, можно руками pasted TLS secret. Но при 3+ доменах cert-manager экономит часы в месяц.

Источник: Как настроить Ingress в Kubernetes

PgTune — можно верить?

Да, как стартовая точка. pgtune.leopard.in.ua генерирует base config. Дальше — подкручиваете под свой workload (OLTP vs OLAP).

Источник: Как настроить производительность PostgreSQL

Когда нужны partition'ы?

При таблицах > 100 GB или вырезании старых данных. Для < 10 GB — лишняя сложность.

Источник: Как настроить производительность PostgreSQL

Connection pooler критичен?

При > 200 concurrent — да, Postgres per-connection backend съедает 10 MB RAM + контекст-свитчи.

Источник: Как настроить производительность PostgreSQL

Сколько partitions достаточно?

Rule of thumb: 10x ожидаемого throughput на MBps. 1 partition = ~10 MB/s. 100 MB/s throughput → 10+ partitions.

Источник: Как устранить Kafka consumer lag

Уменьшить partitions можно?

Нет, это non-reversible. Создайте новый topic с меньшим числом, переключите producers, migrate consumers.

Источник: Как устранить Kafka consumer lag

compaction vs retention?

Retention: удаляет по времени (7 дней default). Compaction: хранит последнее значение per key — useful для event sourcing / state stores.

Источник: Как устранить Kafka consumer lag

Rate per IP или per user?

Per IP быстрее (binary_remote_addr в ключе). Per user — после аутентификации через $cookie_session или $jwt_claim.

Источник: Как настроить rate limiting в nginx

X-Forwarded-For?

Позади CDN — real_ip_header + set_real_ip_from. Иначе всё банится на CDN IP.

Источник: Как настроить rate limiting в nginx

limit_req vs CF / AWS WAF?

CF / WAF — защита от L7 DDoS (10k+ RPS). nginx limit_req — локальный fair-use + slow-brute protection.

Источник: Как настроить rate limiting в nginx

Как часто ротировать?

High-privilege API keys — 24-72h (JIT). Service credentials — 30-90d. Human passwords — 90d + MFA. После incident — немедленно.

Источник: Как ротировать секреты production — 2026

Vault или AWS SM?

Vault: self-host, universal (не только AWS), $0 if self. AWS SM: managed, tight AWS IAM integration, $0.40/secret/мес. Cloud-native → SM, multi-cloud → Vault.

Источник: Как ротировать секреты production — 2026

Short-lived credentials?

Best practice 2026 — AWS STS AssumeRole (1h), GitHub OIDC federation (no static AWS keys), Workload Identity (K8s). Reduces rotation overhead.

Источник: Как ротировать секреты production — 2026

Как проверить leakage?

GitHub secret scanning enabled, trufflehog в CI, Shodan alerts для own IPs. Enterno Security Scanner для sensitive file disclosure.

Источник: Как ротировать секреты production — 2026

Snyk vs Dependabot?

Snyk: broader (containers + IaC + licensing), paid beyond free tier. Dependabot: GitHub-native, free, npm+pip+... — но only dependencies, no container scan. Используйте оба.

Источник: Как настроить Snyk security scanning

Trivy vs Snyk?

Trivy: open source (Aqua Security), free, scans containers + IaC. Less polished UI, но comparable coverage. Для startups — Trivy. Для enterprise — Snyk support.

Источник: Как настроить Snyk security scanning

Snyk Code (SAST)?

Statically analyzes source code для vulns (SQL injection, XSS). Competes с Semgrep, SonarQube. Free tier 100 tests/мес.

Источник: Как настроить Snyk security scanning

Monitor prod?

snyk monitor continuously tracks. New CVEs discovered → email/Slack alert. Enterno uptime для endpoint health complements.

Источник: Как настроить Snyk security scanning

Зачем signing images?

Supply chain attacks (SolarWinds, xz) показали: untrusted images = RCE. Signing доказывает "это image was built by X CI". SLSA level 3 требует.

Источник: Как подписывать Docker images через Cosign

Keyless vs key-based?

Keyless: no key management, OIDC-based, suitable для most. Key-based: offline signing, для air-gapped, requires key storage (HSM / KMS).

Источник: Как подписывать Docker images через Cosign

SBOM — что?

Software Bill of Materials. syft / Trivy генерируют list packages в image. Combined с cosign attest — creates attested SBOM.

Источник: Как подписывать Docker images через Cosign

Admission в K8s?

sigstore-policy-controller (preferred 2025+) или Kyverno с cosign verify. Block unsigned images or wrong signer.

Источник: Как подписывать Docker images через Cosign

Когда нужен SBOM?

US federal contractors с 2023 (EO 14028). EU Cyber Resilience Act (CRA) с 2027 — весь software на EU рынке. Enterprise customers — expected в RFP.

Источник: Как генерировать SBOM для супplai chain

SPDX или CycloneDX?

SPDX: Linux Foundation, широкое acceptance в enterprise. CycloneDX: OWASP, focus на security, richer vulnerability info. Оба — ISO стандарты 2024+.

Источник: Как генерировать SBOM для супplai chain

SBOM scanning?

Grype (Anchore) reads SPDX/CycloneDX + CVE DB. Dependency-Track (OWASP) — continuous monitoring, new CVEs alert on old release.

Источник: Как генерировать SBOM для супplai chain

Monitor endpoint for SBOM?

Upload в Dependency-Track / Snyk / GitHub Advisory. Для endpoint uptime — Enterno HTTP checker.

Источник: Как генерировать SBOM для супplai chain

Dependabot или Renovate?

Dependabot: GitHub-native, simpler. Renovate: более flexible, works on GitLab/Bitbucket, configurable schedules. Для solo projects — Dependabot. Для teams с complex policies — Renovate.

Источник: Как аудитить supply chain npm-пакетов

Socket.dev free?

Free tier: 5 repos. $15/dev/мес paid. Analyzes package behavior (network calls, file ops, eval usage) — detects novel supply-chain attacks.

Источник: Как аудитить supply chain npm-пакетов

xz 2024 incident?

xz-utils CVE-2024-3094 — backdoor через social engineering 2-летний maintainer takeover. Would have compromised OpenSSH on major Linux distros. Detected by luck.

Источник: Как аудитить supply chain npm-пакетов

npm vs pnpm vs bun?

pnpm: content-addressable, fast, deterministic. bun: Rust backend, 10x faster. Для audit — pnpm/bun показывают actual installed graph точнее npm.

Источник: Как аудитить supply chain npm-пакетов

OTel или vendor-specific SDK (Datadog APM)?

OTel: vendor-neutral, migrate backends легко. Datadog APM: deeper integration но vendor lock. Для new projects — OTel, для Datadog-shop — native.

Источник: Как настроить OpenTelemetry — 2026

Traces vs Metrics vs Logs?

Traces: request flow через services. Metrics: aggregated numbers (CPU, requests/sec). Logs: discrete events. OTel unifies все три.

Источник: Как настроить OpenTelemetry — 2026

Cost?

Self-host Grafana Tempo (free) + S3 storage ~$10/мес для small app. Datadog $15/hostmo. Honeycomb $70+/мес pro tier.

Источник: Как настроить OpenTelemetry — 2026

Monitor endpoint?

Enterno HTTP checker для backend health. Scheduled monitoring для uptime SLA.

Источник: Как настроить OpenTelemetry — 2026

Jaeger vs Tempo vs Honeycomb?

Jaeger: open source, battle-tested, local storage OK. Tempo: Grafana-native, S3 backend, cheap at scale. Honeycomb: SaaS, best query UX ($70+/мес).

Источник: Как трейсить distributed HTTP/gRPC calls

Trace вместо logs?

Traces show flow + timing. Logs show discrete events. Complement: trace ID в log line ties logs к specific trace.

Источник: Как трейсить distributed HTTP/gRPC calls

Performance overhead?

OTel auto-instrument: 1-3% CPU, negligible latency. Sample 1-10% для prod.

Источник: Как трейсить distributed HTTP/gRPC calls

Как latency issue быстро найти?

Enterno Ping для endpoint-уровня. Для full trace — Jaeger/Tempo UI filter by duration.

Источник: Как трейсить distributed HTTP/gRPC calls

SLO vs SLA?

SLO: internal target. SLA: legal contract с penalty. SLO всегда строже SLA (99.9% SLO → 99% SLA). Breach SLO → postmortem. Breach SLA → refund.

Источник: Как мерить SLI/SLO для сервиса

Реальные numbers?

AWS S3: 99.9%. Gmail: 99.97%. Stripe API: 99.99%. Для startup: 99% enough для MVP; 99.9% для B2B; 99.95%+ для critical infra.

Источник: Как мерить SLI/SLO для сервиса

Error budget ratio?

99.9% = 0.1% = 43m/мес. 99.99% = 4m/мес. Each 9 multiplies cost ~10x. Be realistic.

Источник: Как мерить SLI/SLO для сервиса

Enterno monitoring?

Enterno Uptime Monitoring tracks availability + latency + SSL. Alerts + SLA reports. Integrates с PagerDuty, Slack, Telegram.

Источник: Как мерить SLI/SLO для сервиса

PagerDuty vs Opsgenie?

PagerDuty: market leader, polished UX, $21+/user. Opsgenie (Atlassian): cheaper, tight Jira integration. Для small teams — Pagerduty free tier 5 users.

Источник: Как настроить Prometheus alerting — Alertmanager

Alertmanager HA?

Clustered mode: 3+ instances gossip state. Без HA — если Alertmanager down → пропущенные alerts. Run 3 replicas.

Источник: Как настроить Prometheus alerting — Alertmanager

Grafana alerting replace?

Grafana 9+ имеет built-in alerting (Unified alerts). Для Grafana Cloud users — simpler. Prometheus + AM всё равно standard для self-host.

Источник: Как настроить Prometheus alerting — Alertmanager

Enterno integration?

Enterno uptime monitoring sends к PagerDuty, Slack, Telegram. Для OpenTelemetry-based alerts — Grafana Alerting lepszy.

Источник: Как настроить Prometheus alerting — Alertmanager

Field vs Lab data?

Field (CrUX, RUM): real users, slow devices, varied networks. Lab (Lighthouse): synthetic ideal conditions. Google SEO = field data.

Источник: Как измерять Web Vitals в production

Почему INP заменил FID?

FID = first interaction (обычно fast). INP = worst interaction per session → better UX signal. March 2024 migration.

Источник: Как измерять Web Vitals в production

RUM provider?

Enterno RUM (free tier + pro), Vercel Speed Insights ($10/мес), Google CrUX (free но aggregated), SpeedCurve ($20+).

Источник: Как измерять Web Vitals в production

Как проверить без install?

Enterno PageSpeed для lab scores. Google PageSpeed Insights — показывает CrUX field data.

Источник: Как измерять Web Vitals в production

Сколько documents нужно?

100 небольших docs уже работают. 10k+ — нужна rerank для quality. 100k+ — sharding vector DB, hybrid search.

Источник: Как построить RAG чат-бот на docs — 2026

Cost?

Embeddings: $0.02/1M токенов. LLM call: $0.15-15/1M. Для 1k queries/день ~$0.50-5.

Источник: Как построить RAG чат-бот на docs — 2026

Лучший LLM для RAG?

Claude Opus 4.7 — лучший для long context. GPT-5 — balanced. Gemini 2.5 — 2M context. Llama 3 70B self-host — free.

Источник: Как построить RAG чат-бот на docs — 2026

Как мониторить RAG quality?

Ragas (Python) measures context_precision, context_recall, answer_relevancy. Set thresholds в CI.

Источник: Как построить RAG чат-бот на docs — 2026

RAG или FT?

RAG: dynamic knowledge, easy update. FT: style, tone, format consistency. Часто комбинируются — FT для tone + RAG для facts.

Источник: Как зафайнтюнить LLM на своих данных — 2026

Стоимость?

OpenAI gpt-4o-mini FT: $3/1M training tokens. Together Llama 3 70B LoRA: ~$5-20 за run. Self-host: $0 cost если GPU есть.

Источник: Как зафайнтюнить LLM на своих данных — 2026

Как мерить improvement?

Held-out test set (20%). Metrics зависят от task: exact match, BLEU, LLM-as-judge (GPT-4 rates outputs).

Источник: Как зафайнтюнить LLM на своих данных — 2026

LoRA vs full FT?

LoRA: 0.1-1% params updated, fast, cheap. Full FT: all params, лучшее качество но 10-100x cost. Для 95% use cases LoRA достаточно.

Источник: Как зафайнтюнить LLM на своих данных — 2026

Что делать если key утёк?

Немедленно: (1) Revoke key в dashboard, (2) Check usage за последние 24h, (3) Rotate all related keys, (4) Review logs для suspicious calls, (5) Contact support если cost > $1k.

Источник: Как защитить AI API keys от утечки — 2026

Cost $10k за утечку — реально?

Да. Automated bots scanning GitHub + Shodan instantly findings новые keys. 1 GPU hour на H100 = $2-5. 1000 parallel calls × 24h × $5 = $120k. Известные cases.

Источник: Как защитить AI API keys от утечки — 2026

Proxy добавляет latency?

Да, +50-100ms. Mitigate: proxy в том же regionе, что OpenAI endpoint. Streaming response — UX не страдает.

Источник: Как защитить AI API keys от утечки — 2026

Как Enterno защищает keys?

Все external API keys (OpenAI, Anthropic, Telegram) в backend .env с 600 permissions. Proxy endpoints с rate limiting + user auth. См. Enterno Security Scanner.

Источник: Как защитить AI API keys от утечки — 2026

SSE vs WebSocket?

SSE: one-way server→client, HTTP-based, proxies friendly. WebSocket: duplex, overkill для LLM (не нужно client→server streaming).

Источник: Как стримить LLM ответы в реальном времени

Первый токен latency?

Typical 300-800ms. Factors: server region, model size, prompt caching. OpenAI с cache — 150ms.

Источник: Как стримить LLM ответы в реальном времени

Как delay минимизировать?

TTFT (time to first token): cache prompt prefix, short prompts, use smaller model для low-latency path. Prompt cache 10x reduce.

Источник: Как стримить LLM ответы в реальном времени

Monitor latency?

TTFT + tokens/sec в analytics. Enterno HTTP checker для general endpoint. LangSmith / LangFuse для LLM-specific traces.

Источник: Как стримить LLM ответы в реальном времени

Cache hit rate target?

30-50% хорошо для general chatbot. 70%+ — для frequent queries (FAQ, docs Q&A).

Источник: Как кэшировать LLM API calls — 2026

OpenAI automatic cache — как работает?

Prompts > 1024 tokens cached automatically для 5-60 минут. Cost 50% reduction. Нет explicit API.

Источник: Как кэшировать LLM API calls — 2026

Кэш для streaming?

Да. Cache на full response после completion. На второй hit можно stream из Redis с artificial delay для UX.

Источник: Как кэшировать LLM API calls — 2026

Invalidation strategy?

Time-based (TTL) — simple. Tag-based (invalidate все с tag "docs:v2") — complex. Для most LLM uses TTL достаточно.

Источник: Как кэшировать LLM API calls — 2026

Как часто eval?

Каждый prompt / model change — full suite. Daily cron smaller smoke test. Weekly — human review of sample.

Источник: Как оценивать LLM output quality — 2026

LangSmith vs LangFuse?

LangSmith: LangChain maintained, tight integration. LangFuse: open-source, self-host possible. Braintrust: evaluation-first.

Источник: Как оценивать LLM output quality — 2026

Automatic vs human eval?

Automatic — scale + consistency, но миссит nuanced. Human — expensive ($1-5 per example) но ground truth. Combine.

Источник: Как оценивать LLM output quality — 2026

Enterno использует?

Для internal RAG — Ragas weekly. Для prompt changes — Promptfoo в CI. Для production quality — LLM-as-judge sampling 1% traffic.

Источник: Как оценивать LLM output quality — 2026

MCP vs OpenAI function calling?

MCP: standard, works с multiple clients (Claude, Zed, others). OpenAI functions: specific к OpenAI API. MCP — более универсально.

Источник: Как построить AI Agent с MCP — 2026

MCP servers market 2026?

Официальная коллекция: filesystem, git, GitHub, Slack, Postgres, Google Drive. Community — десятки больше (Figma, Linear, Sentry).

Источник: Как построить AI Agent с MCP — 2026

Security?

Claude Desktop prompts user перед каждым tool call. Для automated agents — нужен manual review пайп, sandbox, whitelist tools.

Источник: Как построить AI Agent с MCP — 2026

Deploy MCP remotely?

SSE transport над HTTPS. Auth через OAuth. Пример — Sentry MCP server (opens at https://mcp.sentry.dev).

Источник: Как построить AI Agent с MCP — 2026

Cold start — как решить?

Keep-warm strategy: ping каждые 5 мин держит container alive. Cost ~$0.10/hour idle. Или use provider с faster cold start (Modal 2s).

Источник: Как deploy LLM на serverless GPU — 2026

Modal vs RunPod?

Modal: Python-native UX, дороже. RunPod: cheaper, requires Docker image. Для prototyping — Modal. Для production scale — RunPod.

Источник: Как deploy LLM на serverless GPU — 2026

vLLM нужен?

Для production serving — yes. 2-5x throughput над raw transformers. PagedAttention + continuous batching.

Источник: Как deploy LLM на serverless GPU — 2026

Replicate pricing OK?

Good для low-volume + pre-built models. Dedicated deployment (Modal, RunPod) дешевле для >1M tokens/day.

Источник: Как deploy LLM на serverless GPU — 2026

Cost для 10k articles?

Indexing ~$0.50 (одноразово). Queries: $0.001 per search. 1000 searches/day → $1/mo.

Источник: Как добавить semantic search на сайт — 2026

Чем semantic лучше keyword?

Understands synonyms ("how to fix" ≈ "troubleshoot"), concepts ("SSL errors" finds "TLS cert issues"). Для short queries — keyword лучше.

Источник: Как добавить semantic search на сайт — 2026

Algolia vs self-hosted?

Algolia: $40/mo minimum, polished UX, но platform lock-in. Self-hosted (Qdrant): $5/mo VPS, own data, more work.

Источник: Как добавить semantic search на сайт — 2026

Enterno пример?

Enterno articles + pSEO все поддерживают semantic search на query /search. См. Docs или Articles.

Источник: Как добавить semantic search на сайт — 2026

100% fix возможен?

Нет. Prompt injection — fundamental LLM limitation. Defense in depth + monitoring + human review для critical ops.

Источник: Как защитить LLM от prompt injection — 2026

Rebuff vs Lakera?

Rebuff: open-source Python, simpler. Lakera Guard: commercial API, broader detection. Combine.

Источник: Как защитить LLM от prompt injection — 2026

Как test защиту?

Promptfoo red-team tests + known injection payloads (https://github.com/FonduAI/awesome-prompt-injection). Hire red-team для production.

Источник: Как защитить LLM от prompt injection — 2026

Enterno защита?

Backend proxy для all LLM calls, structured output where possible, rate limit per-user, log suspicious prompts для review. См. Enterno Security Scanner.

Источник: Как защитить LLM от prompt injection — 2026

Free tier достаточно?

Для solo проекта — да. Team 5+ — иногда нужен Teams $4/user/мес или self-hosted runners.

Источник: Как настроить CI/CD в GitHub Actions — 2026

Self-hosted runners — зачем?

Для private network access, unlimited minutes, GPU/ARM runners. Downside — maintenance + security (compromised runner = RCE в GitHub workflow).

Источник: Как настроить CI/CD в GitHub Actions — 2026

Secrets vs env vars?

Secrets — encrypted, not visible в logs. Env vars — plain, visible. Для tokens/passwords — всегда secrets.

Источник: Как настроить CI/CD в GitHub Actions — 2026

GitHub Actions vs Jenkins/GitLab CI?

GitHub Actions: free для GH repos, огромная marketplace actions, YAML. Jenkins: self-host, flexible но maintenance. GitLab CI: tight GitLab integration. Для GitHub — Actions default.

Источник: Как настроить CI/CD в GitHub Actions — 2026

ArgoCD для small cluster — overkill?

Для 1 app — overkill. Для 3+ apps/services в Kubernetes — ArgoCD убирает manual kubectl + provides audit trail + rollback.

Источник: Как настроить GitOps с ArgoCD — 2026

Private repos — доступ?

HTTPS: username + personal access token в secret. SSH: deploy key. В UI → Settings → Repositories.

Источник: Как настроить GitOps с ArgoCD — 2026

Как secrets?

НЕ plain в Git. Sealed Secrets (bitnami) encrypted в Git, расшифровываются в cluster. Или External Secrets Operator → Vault/AWS SM/SSM.

Источник: Как настроить GitOps с ArgoCD — 2026

Multi-env (dev/staging/prod)?

Kustomize overlays + separate Applications per env. Или ApplicationSet для DRY.

Источник: Как настроить GitOps с ArgoCD — 2026

Vault или AWS Secrets Manager?

AWS SM: managed, tight AWS integration, $0.40/secret/month. Vault: multi-cloud, dynamic creds, advanced features (transit encryption), но self-host complexity.

Источник: Как настроить HashiCorp Vault для secrets

License — open-source?

Vault стал BSL (Business Source License) в 2023, как Terraform. Open-source fork — OpenBao (Linux Foundation).

Источник: Как настроить HashiCorp Vault для secrets

Как rotate secrets?

Dynamic secrets: auto-rotate при каждом запросе. Static: TTL + VersionedKV + manual rotation via API.

Источник: Как настроить HashiCorp Vault для secrets

Integration с apps?

Vault Agent (sidecar renders secrets в file), Vault SDK (Python/Go/Java), Kubernetes Secret Injector.

Источник: Как настроить HashiCorp Vault для secrets

SameSite=Lax достаточно в 2026?

Для top-level GET — да. Для POST/PUT/DELETE — Lax блокирует cross-site, это core CSRF mitigation. Но defence-in-depth: token на state-changing forms обязателен.

Источник: Как включить CSRF защиту — 2026

API с cookies auth — CSRF нужен?

Да, если cookies. JWT в header (Bearer) — CSRF ok (attacker не может set custom header). Cookies — vulnerable без CSRF token.

Источник: Как включить CSRF защиту — 2026

SPA + JSON API — как?

Double-Submit Cookie: CSRF token в cookie + в request header. Attacker не может read cookie (SameOrigin), не знает value для header.

Источник: Как включить CSRF защиту — 2026

Как проверить CSRF защиту?

Create test page на другом domain с fetch('/your-site/action', {method: 'POST', credentials: 'include'}). Должен быть blocked.

Источник: Как включить CSRF защиту — 2026

Managed или self-hosted K8s?

Managed (EKS/GKE/AKS) — saves 40+ hours/month maintenance. Self-hosted только если compliance или data residency не позволяет cloud.

Источник: Как мигрировать приложение в Kubernetes — 2026

Когда нужен K8s?

Microservices (5+ services), multi-region, auto-scaling need. Для monolith на 1 VPS — overkill.

Источник: Как мигрировать приложение в Kubernetes — 2026

Alternatives?

Docker Swarm (simple, но declining). Nomad (HashiCorp, simpler than K8s). Managed PaaS: Vercel, Fly.io, Railway — handle все автоматически для web apps.

Источник: Как мигрировать приложение в Kubernetes — 2026

Как test перед migration?

Local: kind, minikube, k3d (single-node). Staging: небольшой managed cluster. Run parallel 2 недели → compare metrics → cut over.

Источник: Как мигрировать приложение в Kubernetes — 2026

Docker Compose vs Kubernetes?

Compose: single host, dev, small prod. K8s: multi-host, auto-scaling, HA. Порог миграции: >3 services + >1 host + need auto-scaling = K8s.

Источник: Как использовать Docker Compose — 2026

Сетевое взаимодействие?

Services в одном compose file автоматически в shared network. Access через service name (hostname). External: expose ports через ports:.

Источник: Как использовать Docker Compose — 2026

Можно ли Docker Compose в prod?

Для small apps (side projects, internal tools) — yes. Для serious business — оставить dev-only, migrate в K8s для prod.

Источник: Как использовать Docker Compose — 2026

Alternative — Podman Compose?

Podman — daemonless Docker-compatible. Podman Compose — работает с docker-compose.yml. Для rootless Linux — preferable.

Источник: Как использовать Docker Compose — 2026

Как enable debug logging только для одного IP?

events { debug_connection 1.2.3.4; } в nginx.conf — debug только для этого client.

Источник: Как отладить nginx ошибки — 2026

Real IP через proxy?

Настройте set_real_ip_from 10.0.0.0/8; + real_ip_header X-Forwarded-For; — nginx покажет client IP instead of proxy.

Источник: Как отладить nginx ошибки — 2026

Как проверить backend health из nginx?

nginx_upstream_check_module (патч для OSS nginx). Или plain passive health checks через max_fails=3 fail_timeout=30s.

Источник: Как отладить nginx ошибки — 2026

Best tool для debug traffic?

tcpdump на server → capture traffic, analyze в Wireshark. Или DevTools Network tab для client-side.

Источник: Как отладить nginx ошибки — 2026

Let's Encrypt подходит для prod?

Да, 100%. Google, Facebook, Cloudflare используют. Единственное ограничение: 90 дней validity (auto-renew решает).

Источник: Как установить SSL-сертификат на nginx — 2026

Как установить cert от commercial CA?

Тот же процесс как manual: fullchain.pem = cert + intermediate, отдельно privkey.pem. В nginx — ssl_certificate + ssl_certificate_key.

Источник: Как установить SSL-сертификат на nginx — 2026

Certbot модифицирует мой config — безопасно?

Да. Certbot оставляет backup оригинала. Можно откатить: cp nginx.conf.backup nginx.conf.

Источник: Как установить SSL-сертификат на nginx — 2026

Как автоматизировать renewal?

systemctl enable --now certbot.timer. Работает 2x в день. На renew hook: --deploy-hook "systemctl reload nginx".

Источник: Как установить SSL-сертификат на nginx — 2026

nginx vs HAProxy vs Traefik?

nginx — proven stable, Level 7 load balancer. HAProxy — faster Level 4. Traefik — auto-discovery для Docker/K8s. Для 90% случаев nginx.

Источник: Как настроить reverse proxy nginx — 2026

Как сделать zero-downtime backend restart?

Blue-green: upstream с 2 backends, stop/start по одному. nginx автоматически routes на live.

Источник: Как настроить reverse proxy nginx — 2026

Можно ли reverse proxy + SSL termination?

Да — стандартный pattern. SSL на nginx (443), backend HTTP (3000). Backend не знает про TLS.

Источник: Как настроить reverse proxy nginx — 2026

Performance: reverse proxy тормозит?

Мало. nginx adds ~0.1-0.5ms. Winning features (caching, compression) убирают 100-500ms.

Источник: Как настроить reverse proxy nginx — 2026

Prometheus или InfluxDB?

Prometheus — pull model, простой setup, TSDB. InfluxDB — push model, SQL-like queries, better long-term. Prometheus лучше для Kubernetes/microservices.

Источник: Как настроить Prometheus + Grafana — 2026

Retention — сколько хранить?

Default 15 дней. Для long-term — remote storage (Thanos, Cortex, Grafana Mimir) или Prometheus federation.

Источник: Как настроить Prometheus + Grafana — 2026

Alerts — где настраивать?

Alertmanager (отдельный service). Routes alerts в email, Slack, PagerDuty, Telegram.

Источник: Как настроить Prometheus + Grafana — 2026

Сравнение с Datadog/New Relic?

Prometheus+Grafana — self-hosted, free. Datadog — SaaS, $15+/host/мес, лучше UX. Выбор по budget vs control.

Источник: Как настроить Prometheus + Grafana — 2026

pg_dump vs pg_basebackup?

pg_dump — logical, per-database, portable (restore на другой PG version). pg_basebackup — physical, whole cluster, fast, но restore только на same PG version.

Источник: Как настроить бэкап PostgreSQL — 2026

Incremental backups?

PG не имеет built-in incremental. Используйте pg_basebackup + WAL archiving (effectively incremental через WAL). Или tool pgBackRest.

Источник: Как настроить бэкап PostgreSQL — 2026

Сколько retention?

Для compliance обычно 30-90 дней. For disaster recovery достаточно 7-14 days. S3 lifecycle rules помогают auto-cleanup.

Источник: Как настроить бэкап PostgreSQL — 2026

Backup verification?

pg_restore --list показывает content. Real test: periodic full restore to staging, run smoke tests.

Источник: Как настроить бэкап PostgreSQL — 2026

Cron send email по default — недостаточно?

Часто SMTP не настроен на VPS → email не доходит. Heartbeat активно alertит если cron не запустился вообще (host down, cron daemon stopped).

Источник: Как мониторить cron jobs — 2026

Healthchecks.io vs Enterno?

Healthchecks — open-source + SaaS free tier. Enterno — интегрирован с uptime/SSL/DNS monitoring в одном dashboard, + RU servers.

Источник: Как мониторить cron jobs — 2026

Для Kubernetes CronJob — как?

Same principle: curl PING_URL в postStart/postStop container lifecycle hook. Или sidecar container.

Источник: Как мониторить cron jobs — 2026

Private network cron — как pinging?

Outbound HTTP обычно разрешён. Если нет — self-hosted Healthchecks на internal network.

Источник: Как мониторить cron jobs — 2026

systemd vs pm2 / supervisord?

systemd — built-in Linux, zero dependencies. pm2 — specialized для Node.js (cluster mode, zero-downtime reload). На простом app — systemd.

Источник: Как создать systemd service — 2026

Restart policy — какую выбрать?

on-failure (restart on non-zero exit) — стандарт. always — restart даже при normal exit (useful для daemon). no — только manual.

Источник: Как создать systemd service — 2026

Как сделать graceful shutdown?

TimeoutStopSec=30s — systemd ждёт 30 сек перед SIGKILL. App должен handle SIGTERM и cleanly exit.

Источник: Как создать systemd service — 2026

Logs огромные — как ротация?

journald автоматически rotates. Settings: /etc/systemd/journald.conf → SystemMaxUse=1G, MaxRetentionSec=30d.

Источник: Как создать systemd service — 2026

logrotate vs journald?

journald — built-in systemd, binary format, journalctl. logrotate — text files с compression. Для apps что пишут в файл — logrotate.

Источник: Как настроить logrotate — 2026

Как часто запускается?

cron.daily — 1 раз в день. Для more frequent — hourly через /etc/logrotate.d/ и cron entry.

Источник: Как настроить logrotate — 2026

Куда идут rotated logs?

Same directory с суффиксом .1, .2, .gz etc. Example: access.log → access.log.1 → access.log.2.gz.

Источник: Как настроить logrotate — 2026

Rotation не работает — как debug?

logrotate -d (dry-run) показывает что произойдёт. Status: cat /var/lib/logrotate/status — когда последний rotation.

Источник: Как настроить logrotate — 2026

Cloudflare geo-blocking vs nginx?

Cloudflare: simple dashboard toggle, работает до вашего origin. nginx: гибче, нет зависимости от CDN. Для критичных security layer — оба.

Источник: Как заблокировать страну в nginx — 2026

MaxMind vs IP2Location?

MaxMind GeoLite2 — free, good accuracy, standard. IP2Location — commercial, больше деталей (proxy/VPN detection).

Источник: Как заблокировать страну в nginx — 2026

Как unblock admin из заблокированной страны?

Whitelist его IP ДО country check. Или отдельный admin.example.com без geo-block.

Источник: Как заблокировать страну в nginx — 2026

Какие страны часто блокируются?

Compliance sanctions: CU, IR, KP, SY. Security: countries с высокой bot activity. Business: где у вас нет support.

Источник: Как заблокировать страну в nginx — 2026

Зачем wildcard если можно выпустить cert для каждого subdomain?

Wildcard удобнее при динамических subdomain (создаются автоматически). Для фиксированного набора — проще выпустить отдельные certs (лучше для revocation granularity).

Источник: Как получить wildcard Let's Encrypt — 2026

Можно ли multi-level wildcard (*.*.example.com)?

Нет, Let's Encrypt поддерживает только single-level (*.example.com). Для more глубоких — нужен separate cert.

Источник: Как получить wildcard Let's Encrypt — 2026

Wildcard cert безопасен?

Если private key не скомпрометирован — да. Но при compromise атакующий получает доступ ко всем subdomain сразу. Ротация раз в 90 дней (автоматически) снижает risk.

Источник: Как получить wildcard Let's Encrypt — 2026

Можно ли wildcard + SAN для apex?

Да: -d "*.example.com" -d example.com создаёт cert с SAN = [*.example.com, example.com]. Обычная практика.

Источник: Как получить wildcard Let's Encrypt — 2026

ed25519 vs RSA?

ed25519 быстрее, более современный, короче (32 байта vs 2048+ бит). RSA нужен только для legacy clients (до 2014).

Источник: Как защитить SSH сервер — hardening 2026

Смена порта — реальная защита?

Security-through-obscurity. Блокирует массовые boт scanners (90% сканируют только :22). Не защищает от targeted attack на ваш server.

Источник: Как защитить SSH сервер — hardening 2026

Надо ли отключить root полностью?

Лучше PermitRootLogin prohibit-password (разрешить только по ключу) + sudo user. Полный no — требует console access для emergency.

Источник: Как защитить SSH сервер — hardening 2026

Как проверить security?

Enterno Security Scanner + ssh-audit open-source tool. Plus audit auth.log для failed attempts.

Источник: Как защитить SSH сервер — hardening 2026

Let's Encrypt сколько раз в год renew?

Certbot auto-renew срабатывает при <30 дней до expiry. LE cert валиден 90 дней → renew ~6 раз в год.

Источник: Как ротировать SSL-сертификат без downtime 2026

Нужен ли restart nginx или только reload?

Reload (SIGHUP) достаточно — worker processes плавно переинициализируются. Restart = downtime.

Источник: Как ротировать SSL-сертификат без downtime 2026

Как настроить auto-reload после renew?

Certbot deploy hook: certbot renew --deploy-hook "systemctl reload nginx" или в /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh.

Источник: Как ротировать SSL-сертификат без downtime 2026

Что делать если cert истёк?

Urgent renew + reload. Если certbot renew не работает из-за rate limit: certbot certonly --force-renewal.

Источник: Как ротировать SSL-сертификат без downtime 2026

Обязательно ли OCSP Stapling?

Нет технически, но Qualys SSL Labs снижает grade на A-. Mozilla рекомендует. Browsers с Must-Staple cert требуют.

Источник: Как настроить OCSP Stapling в nginx — 2026

Сколько часто nginx запрашивает OCSP?

nginx кэширует response на несколько часов (не настраивается напрямую, зависит от cache control в OCSP response).

Источник: Как настроить OCSP Stapling в nginx — 2026

Let's Encrypt поддерживает OCSP?

Да, полностью. Their OCSP responder ocsp.int-x3.letsencrypt.org 24/7.

Источник: Как настроить OCSP Stapling в nginx — 2026

Как проверить что stapling работает?

Enterno SSL → секция TLS → "OCSP Stapling: Active" + openssl s_client -status.

Источник: Как настроить OCSP Stapling в nginx — 2026

Насколько лучше Brotli чем gzip?

Для текста (HTML/CSS/JS): 15-25% меньше размер при тех же CPU. Для бинарных (уже сжатых image) — разница минимальна.

Источник: Как включить Brotli compression в nginx 2026

Работает ли Brotli через HTTPS?

Да, требуется HTTPS (клиенты не отправляют Accept-Encoding: br через plain HTTP). Современные сайты все на HTTPS.

Источник: Как включить Brotli compression в nginx 2026

Совместимость клиентов?

Chrome 50+, Firefox 44+, Safari 11+ (2017). IE не поддерживает. На 2026 coverage 95%+.

Источник: Как включить Brotli compression в nginx 2026

Как проверить что работает?

Enterno Speed checker покажет response headers. Или DevTools → Network → Response Headers → Content-Encoding.

Источник: Как включить Brotli compression в nginx 2026

Что такое simple request?

Simple request: GET/HEAD/POST + only standard headers (Accept, Content-Type in form/text). Без preflight OPTIONS, идёт сразу. Не simple = preflight обязателен.

Источник: Как настроить CORS — руководство 2026

Почему не работает wildcard * с credentials?

Security spec: credentials (cookies) + wildcard = теоретически любой site может украсть sessions. Browsers блокируют комбинацию.

Источник: Как настроить CORS — руководство 2026

Как отладить CORS ошибку?

DevTools → Network → красный запрос → Headers. Console покажет "CORS policy: ..." с причиной. Enterno CORS checker симулирует разные Origin headers.

Источник: Как настроить CORS — руководство 2026

Проверить CORS online?

Enterno CORS checker — введите URL + Origin → увидите what headers returned.

Источник: Как настроить CORS — руководство 2026

Nonce vs hash — что выбрать?

Nonce — для dynamic HTML (per-request). Hash — для статичного inline script (не меняется). На practice nonce + strict-dynamic = 95% случаев.

Источник: Как настроить CSP с nonce — убрать unsafe-inline

strict-dynamic — что это?

Директива CSP3: любой script, загруженный через nonce/hash-script, автоматически получает trust. Упрощает integration GTM/Analytics.

Источник: Как настроить CSP с nonce — убрать unsafe-inline

Работает ли CSP в IE?

IE 11 поддерживает CSP 1 (basic). Nonce появился в CSP 2 — не работает в IE. На 2026 acceptable.

Источник: Как настроить CSP с nonce — убрать unsafe-inline

Как проверить свой CSP?

Enterno CSP Analyzer → введите URL → grade + breakdown директив.

Источник: Как настроить CSP с nonce — убрать unsafe-inline

Как расшифровать Wireshark capture?

Запустите browser с SSLKEYLOGFILE=/tmp/sslkeys.log. В Wireshark → Edit → Preferences → TLS → (Pre)-Master-Secret log → /tmp/sslkeys.log.

Источник: Как отладить TLS-handshake 2026

openssl показывает old cipher — нормально?

Да, sever предлагает в порядке preference. Чтобы увидеть negotiated cipher — смотрите "Cipher: XXX" в output.

Источник: Как отладить TLS-handshake 2026

Как проверить OCSP stapling?

openssl s_client -status -connect example.com:443 &1 | grep "OCSP Response". Должно быть "OCSP Response Status: successful".

Источник: Как отладить TLS-handshake 2026

Как узнать TLS version в бразузере?

DevTools → Security tab → Connection. Или chrome://net-internals/#ssl.

Источник: Как отладить TLS-handshake 2026

Что обычно является LCP element?

Статистика: hero image (55%), H1+intro paragraph (30%), hero video (10%), other (5%). Идентифицируйте через DevTools.

Источник: Как оптимизировать LCP (Largest Contentful Paint) 2026

Почему mobile LCP в 2× хуже desktop?

Slow mobile networks (LTE-4G), weaker CPU (JS parse), smaller batch sizes. Оптимизация: mobile-first + Responsive images + lazy non-critical.

Источник: Как оптимизировать LCP (Largest Contentful Paint) 2026

INP vs LCP — что важнее?

Оба входят в Core Web Vitals. LCP — рендер, INP — responsiveness. Google учитывает оба для ranking.

Источник: Как оптимизировать LCP (Largest Contentful Paint) 2026

Как тестировать LCP?

Enterno Speed показывает field data из CrUX (real users) + lab data. Plus наш CWV benchmark.

Источник: Как оптимизировать LCP (Largest Contentful Paint) 2026

Cloudflare или Yandex Cloud CDN?

Cloudflare: глобальный coverage, бесплатно, но не все российские ISP route оптимально. Yandex: tier-1 РФ coverage + compliance, но платный от 0.5₽/GB.

Источник: Как настроить CDN — Cloudflare, AWS, Yandex 2026

Насколько ускоряется сайт через CDN?

TTFB для международных клиентов: 300-800ms → 50-150ms. LCP: 10-40% улучшение зависимо от контента.

Источник: Как настроить CDN — Cloudflare, AWS, Yandex 2026

Как очистить CDN cache?

Cloudflare: Dashboard → Caching → Purge Cache (all или по URL). AWS: Invalidation в CloudFront console. Yandex: Prefetch/Purge API.

Источник: Как настроить CDN — Cloudflare, AWS, Yandex 2026

Помогает ли CDN для SEO?

Да. Google учитывает TTFB + Core Web Vitals. Быстрый CDN → лучше CWV → +10-20% видимости.

Источник: Как настроить CDN — Cloudflare, AWS, Yandex 2026

Fail2Ban блокирует IPv6?

Да, если ваш iptables/nftables v6 support включён. fail2ban-client status покажет mix v4/v6 bans.

Источник: Как настроить Fail2Ban — защита от brute-force 2026

Будет ли block легитимные users?

Теоретически да, если maxretry низкий. Mitigation: разумный maxretry (3-5), bantime не слишком long (1-24 h), ignoreip для known IPs.

Источник: Как настроить Fail2Ban — защита от brute-force 2026

Замена для Fail2Ban?

CrowdSec — modern alternative с community threat feed. Но Fail2Ban проще для single server setup.

Источник: Как настроить Fail2Ban — защита от brute-force 2026

Как мониторить banned IPs?

fail2ban-client status [jail] или parse /var/log/fail2ban.log. Для Enterno Security Scanner показывает security posture.

Источник: Как настроить Fail2Ban — защита от brute-force 2026

OAuth 2.0 vs OpenID Connect?

OAuth 2.0 — только authorization. OpenID Connect — identity layer поверх OAuth, возвращает id_token (JWT) с user claims.

Источник: Как настроить OAuth 2.0 provider — 2026

Implicit flow ещё используется?

Нет, deprecated с 2019. Всегда Authorization Code + PKCE для SPA/mobile.

Источник: Как настроить OAuth 2.0 provider — 2026

Refresh token где хранить?

Server-side (session/database). Никогда в localStorage/cookie доступном JS. Only httpOnly cookie или server storage.

Источник: Как настроить OAuth 2.0 provider — 2026

Как тестировать OAuth flow?

postmaster.google.com → OAuth 2.0 Playground. Или Enterno JWT decoder для inspect access_token.

Источник: Как настроить OAuth 2.0 provider — 2026

Когда браузер делает preflight?

Non-simple request. Simple: GET/HEAD/POST + только standard headers. Любая custom header, PUT/DELETE/PATCH, Content-Type не в whitelist → preflight.

Источник: Как исправить CORS preflight OPTIONS 2026

Preflight медленнее — как ускорить?

Access-Control-Max-Age: 86400 кэширует preflight 24 часа. Browser не повторяет OPTIONS на каждый request.

Источник: Как исправить CORS preflight OPTIONS 2026

Django DRF + JWT = preflight требует Authorization?

Да. JWT в Authorization header → custom header → preflight обязателен. DRF-cors settings должен содержать "authorization".

Источник: Как исправить CORS preflight OPTIONS 2026

Как тестировать?

Enterno CORS checker → URL + Origin → увидите preflight ответ + headers.

Источник: Как исправить CORS preflight OPTIONS 2026

В чём разница между ~all и -all?

~all (softfail) — письма помечаются как подозрительные, но могут дойти. -all (hardfail) — отбрасываются. Лучше начать с ~all, после 1-2 недель без проблем перейти на -all.

Источник: Как настроить SPF-запись: полное руководство 2026

Нужен ли SPF если есть DKIM?

Да — это разные механизмы. SPF проверяет IP отправителя, DKIM — подпись контента. DMARC требует прохождения одного из двух. Настраивайте оба.

Источник: Как настроить SPF-запись: полное руководство 2026

Можно ли использовать несколько include?

Да, главное — не превысить 10 DNS lookups суммарно (включая вложенные).

Источник: Как настроить SPF-запись: полное руководство 2026

Как узнать свой SPF?

Через DNS-чекер Enterno.io — введите домен, выберите TXT, увидите все TXT включая SPF. Или: dig TXT example.com.

Источник: Как настроить SPF-запись: полное руководство 2026

Нужен ли DKIM если есть SPF?

Да. DMARC требует прохождения SPF ИЛИ DKIM. Если домен рассылает через forwarder — SPF часто ломается, DKIM выживает. Настраивайте оба.

Источник: Как настроить DKIM-подпись писем — руководство 2026

Что такое selector?

Метка, которая позволяет иметь несколько DKIM ключей одновременно (один для маркетинга, второй для транзакционки). Имя DNS-записи: selector._domainkey.domain.

Источник: Как настроить DKIM-подпись писем — руководство 2026

Как проверить чужой DKIM?

В письме смотрите заголовок DKIM-Signature: d=sender.com; s=selector. Или через DKIM-чекер Enterno.io.

Источник: Как настроить DKIM-подпись писем — руководство 2026

Можно ли иметь несколько DKIM selectors?

Да. Каждый сервис (Mailgun, SendGrid, собственный SMTP) может использовать свой selector. Это нормально.

Источник: Как настроить DKIM-подпись писем — руководство 2026

HTTP/2 быстрее HTTP/1.1 всегда?

Нет. На сайтах с одним большим JS-бандлом разница минимальна. На сайтах со многими ресурсами (CSS + много картинок + шрифты) — HTTP/2 даёт 10-30% выигрыша за счёт multiplexing.

Источник: Как включить HTTP/2 в nginx и Apache — 2026

Нужно ли менять код?

Нет. HTTP/2 — уровень транспорта, API идентичен. Уберите только старые "оптимизации" (domain sharding, inline критики) — они мешают HTTP/2.

Источник: Как включить HTTP/2 в nginx и Apache — 2026

А HTTP/3 уже можно?

Да, с nginx 1.25 (март 2023) stable. Или через Cloudflare — автоматически. Выигрыш на мобильных сетях. См. наше исследование HTTP/3 adoption.

Источник: Как включить HTTP/2 в nginx и Apache — 2026

Как проверить что HTTP/2 реально работает?

SSL-чекер Enterno.io или curl -I --http2 https://site.com — в ответе должно быть HTTP/2 200.

Источник: Как включить HTTP/2 в nginx и Apache — 2026

В чём разница между active и passive mixed content?

Active — скрипты, iframe, stylesheets, XHR — могут выполнить код с ограничениями HTTPS-страницы. Chrome блокирует полностью. Passive — картинки, аудио, видео — только пассивно отображаются. Показывают warning, но не блокируются.

Источник: Как исправить Mixed Content — руководство 2026

Можно ли отключить блокировку?

Для отдельного домена в Chrome: Settings → Privacy → Site settings → Insecure content → Allowed for specific site. Но на production это опасно — используйте только для dev.

Источник: Как исправить Mixed Content — руководство 2026

upgrade-insecure-requests работает везде?

Chrome 43+, Firefox 42+, Safari 10.1+. IE не поддерживает, но на enterno.io mobile/desktop браузеры покрывают 98%.

Источник: Как исправить Mixed Content — руководство 2026

Как предотвратить mixed content в новых статьях?

CMS-плагин для авто-замены при сохранении (WordPress: Really Simple SSL), Git pre-commit hook для контента, CSP-report мониторинг в production.

Источник: Как исправить Mixed Content — руководство 2026

Что такое "ad" flag в dig?

Authenticated Data — ответ resolver'а. Если установлен, значит resolver валидировал подпись и она корректна.

Источник: Как проверить DNSSEC домена — руководство 2026

Нужен ли DNSSEC если есть HTTPS?

Да. HTTPS защищает транзит, DNSSEC — разрешение имени. Без DNSSEC атакующий может подменить IP → вы попадёте на его HTTPS-сайт с его cert → нет защиты.

Источник: Как проверить DNSSEC домена — руководство 2026

Почему мой домен DNSSEC проверяется на одних resolver'ах но не на других?

Не все resolver'ы валидируют. Unbound, BIND, PowerDNS — да. dnsmasq (домашние роутеры) — часто нет. Проверьте через 1.1.1.1.

Источник: Как проверить DNSSEC домена — руководство 2026

Адопция DNSSEC в Рунете

Всего 4.1% доменов .ru. Подробнее — исследование Enterno.io.

Источник: Как проверить DNSSEC домена — руководство 2026

Нужно ли CSR для Let's Encrypt?

Нет. Let's Encrypt использует ACME protocol — certbot генерирует ключ и CSR автоматически. Достаточно запустить certbot --nginx -d example.com.

Источник: Как сгенерировать CSR — руководство 2026

Что такое SAN?

Subject Alternative Names — расширение X.509, позволяет один cert для нескольких доменов. Современные браузеры игнорируют CN в пользу SAN. Всегда включайте домен в SAN.

Источник: Как сгенерировать CSR — руководство 2026

Разница DV/OV/EV?

DV (Domain Validation) — только проверка владения доменом (Let's Encrypt). OV (Organization Validation) — + верификация юрлица. EV (Extended Validation) — + углубленная проверка, зеленый адресбар (deprecated в браузерах 2019+).

Источник: Как сгенерировать CSR — руководство 2026

Можно ли использовать CSR повторно?

Да, при renewal можно использовать тот же CSR (тот же ключ). Но ротация ключа — best practice для безопасности.

Источник: Как сгенерировать CSR — руководство 2026

www или non-www — что лучше для SEO?

Не имеет значения, главное — выбрать ОДНУ каноническую версию и последовательно её использовать. Google и Yandex давно одинаково хорошо обрабатывают оба варианта.

Источник: Как сделать редирект www на non-www — руководство 2026

Нужен ли cert на www если редирект моментальный?

Да. Клиент сначала устанавливает TLS-соединение с www.example.com — cert должен быть валиден. Только после этого сервер возвращает 301.

Источник: Как сделать редирект www на non-www — руководство 2026

Разница между 301 и 308?

301 — permanent redirect, разрешает менять метод POST→GET. 308 — то же, но сохраняет метод. Для www→non-www используйте 301 — он совместим со всеми клиентами.

Источник: Как сделать редирект www на non-www — руководство 2026

Как протестировать на цикл редиректов?

Redirects-чекер Enterno.io покажет всю цепочку и предупредит о циклах. Или curl -I -L (следует всем редиректам) — если больше 10 hops = проблема.

Источник: Как сделать редирект www на non-www — руководство 2026

В чём разница max-age и s-maxage?

max-age — TTL для private кэшей (браузер). s-maxage — TTL для shared кэшей (CDN, proxy). Если указаны оба — каждый использует свой.

Источник: Как настроить Cache-Control заголовки — 2026

Что такое immutable?

Директива в Cache-Control: "ресурс никогда не изменится". Браузер не отправляет revalidation (If-None-Match) даже при reload. Важно для hash-based assets.

Источник: Как настроить Cache-Control заголовки — 2026

Нужен ли ETag если есть Cache-Control?

Да. Cache-Control говорит "кэш валиден N секунд". ETag используется при expire для 304 Not Modified (условные запросы). Сочетаются.

Источник: Как настроить Cache-Control заголовки — 2026

Как проверить кэш-стратегию своего сайта?

HTTP-чекер Enterno.io → введите URL → раздел Cache покажет Cache-Control, ETag, Age, max-age.

Источник: Как настроить Cache-Control заголовки — 2026

Что такое rua и ruf?

rua — aggregate reports (ежедневные статистики от Gmail/Yandex). ruf — forensic reports (отдельные сломанные письма, опционально). rua достаточно для 99% случаев.

Источник: Как настроить DMARC-запись — полное руководство 2026

Нужен ли DMARC маленькому сайту?

Да. Даже parked домен (без почты) должен иметь DMARC, иначе атакующий может spoof'ить от вашего имени в фишинге.

Источник: Как настроить DMARC-запись — полное руководство 2026

Как прочитать aggregate report?

Это XML. Сервисы типа dmarcian.com, dmarcanalyzer.com, postmaster.google.com парсят и визуализируют — бесплатный tier обычно есть.

Источник: Как настроить DMARC-запись — полное руководство 2026

Сколько ждать до перехода на reject?

Минимум 2 недели мониторинга p=none. Оптимально: 4 недели p=none → 2 недели p=quarantine pct=25 → 2 недели pct=100 → p=reject. Итого ~2 месяца.

Источник: Как настроить DMARC-запись — полное руководство 2026

Нужна ли регистрация?

Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.

Источник: Как настроить CSP заголовки с nonce [2026]

Нужна ли регистрация?

Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.

Источник: Как перевести сайт с HTTP на HTTPS [2026]

Нужна ли регистрация?

Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.

Источник: Как уменьшить TTFB сайта [2026]

SSL ошибки (264)

Можно ли «починить» в браузере?

Нет — это серверная проблема, кнопки «принять риск» не помогут (Firefox блокирует жёстко). Только обновить bundle на сервере.

Источник: SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE — как исправить (Firefox)

Срок Let's Encrypt intermediate — сколько?

Текущий R3 intermediate (с 2024-09): валиден до 2029-09. До этого был X3 с 2021-09. Авто-renew через certbot обновляет и leaf, и intermediate.

Источник: SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE — как исправить (Firefox)

Почему Chrome не показывает ошибку?

Chrome может иметь intermediate в собственном CRLite-кеше и достроить цепочку. Firefox строго требует полный bundle от сервера.

Источник: SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE — как исправить (Firefox)

Можно ли в Firefox разрешить старые ciphers?

about:config → security.tls.version.enable-deprecated = true (вернёт TLS 1.0/1.1). НЕ рекомендуется — нужно чинить сервер.

Источник: SSL_ERROR_NO_CIPHER_OVERLAP — как исправить (Firefox)

Зачем prefer_server_ciphers off?

Для TLS 1.3 этот флаг не имеет смысла — клиент сам выбирает. Для TLS 1.2 современные клиенты ставят CHACHA20 на ARM (мобильные), AES-GCM на x86. Им виднее.

Источник: SSL_ERROR_NO_CIPHER_OVERLAP — как исправить (Firefox)

Что делать со старым Java/Python клиентом?

Если возможно — обновить runtime (Java 8u261+, Python 3.10+ поддерживают TLS 1.2 нативно). Иначе — добавить compat-cipher временно + план миграции.

Источник: SSL_ERROR_NO_CIPHER_OVERLAP — как исправить (Firefox)

Можно ли в production оставить self-signed?

Нет — каждый посетитель увидит warning, поисковики помечают сайт как unsafe, формы не отправятся (mixed content). Let's Encrypt бесплатно и автоматизирован.

Источник: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT — как исправить (Firefox)

mkcert vs самоподпись openssl?

mkcert ставит local CA в trust store ОС — браузеры доверяют автоматически. openssl self-sign — нужно вручную добавлять exception в каждом браузере на каждой машине.

Источник: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT — как исправить (Firefox)

HSTS preload и self-signed?

Если домен в HSTS preload list — Firefox блокирует жёстко (даже exception недоступен). Делайте preload только после получения настоящего сертификата.

Источник: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT — как исправить (Firefox)

QUIC slower чем HTTP/2 на bad networks?

Paradox: QUIC designed для быстрого handshake (0-RTT), но при packet loss UDP retransmission вручную (vs TCP kernel). В 5% loss QUIC ~= TCP. >10% — TCP лучше.

Источник: ERR_QUIC_TIMEOUT — HTTP/3 connection timeout

Server-side tune?

nginx 1.25+ с QUIC: quic_gso on; quic_retry on; для better performance.

Источник: ERR_QUIC_TIMEOUT — HTTP/3 connection timeout

Как measure adoption?

Cloudflare Analytics показывает HTTP/3 share. Typical 2026: 15-30% desktop, 5-15% mobile.

Источник: ERR_QUIC_TIMEOUT — HTTP/3 connection timeout

Monitor uptime?

Enterno HTTP checker tests standard HTTP. Для QUIC — specialized testing (h3i, curl --http3).

Источник: ERR_QUIC_TIMEOUT — HTTP/3 connection timeout

HPACK vs QPACK?

HPACK — HTTP/2 (TCP). QPACK — HTTP/3 (QUIC/UDP). QPACK handles out-of-order delivery, allows concurrent headers.

Источник: ERR_HPACK_DECODING_FAILED — HTTP/2 header

Debug HPACK?

Wireshark + SSLKEYLOGFILE. Или nghttp2 CLI tools для analyze frames.

Источник: ERR_HPACK_DECODING_FAILED — HTTP/2 header

CDN side?

Cloudflare Support ticket с request id + date. Akamai — similar support path. Check status page.

Источник: ERR_HPACK_DECODING_FAILED — HTTP/2 header

HTTP/2 vs HTTP/3?

HTTP/2: TCP, HPACK, head-of-line blocking. HTTP/3: QUIC/UDP, QPACK, stream multiplexing без HoL.

Источник: ERR_HPACK_DECODING_FAILED — HTTP/2 header

Alpine Docker - safe?

Да если добавить ca-certificates. Scratch — нужно копировать bundle из builder-image.

Источник: curl error 77: problem with CA cert file

CI / CD?

Образы типа alpine:latest обычно имеют ca-certificates. gcr.io/distroless/base — тоже. Проверь Dockerfile.

Источник: curl error 77: problem with CA cert file

Self-signed?

Либо --cacert путь к self-signed CA, либо import в system bundle через update-ca-certificates.

Источник: curl error 77: problem with CA cert file

macOS fresh install — почему?

Python.org installer на macOS идёт с certifi, но system trust store — отдельный. Запуск Install Certificates.command линкует bundle.

Источник: Python ssl.SSLCertVerificationError: CERTIFICATE_VERIFY_FAILED

Behind corporate VPN?

Exportнуть REQUESTS_CA_BUNDLE к corporate root CA. Обычно IT выдаёт файл.

Источник: Python ssl.SSLCertVerificationError: CERTIFICATE_VERIFY_FAILED

verify=False OK?

Только для debug в dev. В prod = MITM-уязвимость. Используй httpbin.org с self-signed + local CA в trust.

Источник: Python ssl.SSLCertVerificationError: CERTIFICATE_VERIFY_FAILED

Как проверить chain быстро?

curl -v https://host 2>&1 | grep -i \"issuer\|depth\|ssl\". Либо enterno.io/ssl — видно intermediate + leaf.

Источник: Trust anchor for certification path not found (Android)

LE на Android < 7?

ISRG Root X1 cross-signed через DST Root CA X3. Expired 30 Sep 2021, LE возобновил cross-sign — работает до 2025+.

Источник: Trust anchor for certification path not found (Android)

App-level vs system-level?

network_security_config — per-app (API 24+). Для tablet-wide — need rooted device + push CA в /system/etc/security/cacerts/.

Источник: Trust anchor for certification path not found (Android)

Reboot обязателен?

Да — Schannel-настройки применяются только после restart. Без reboot изменения не видны.

Источник: Schannel 0x80072f7d — security channel error (Windows)

Affects .NET apps?

.NET 4.5+ использует Schannel — да. Установите ServicePointManager.SecurityProtocol в коде или enable at OS level.

Источник: Schannel 0x80072f7d — security channel error (Windows)

Windows XP?

SHA-2 + TLS 1.2 с SP3 + KB3140245, но end-of-life. Серьёзно рекомендую обновить.

Источник: Schannel 0x80072f7d — security channel error (Windows)

Как не править cacerts системный?

Скопировать в app-specific jks + -Djavax.net.ssl.trustStore. Обновление JDK не сбросит.

Источник: sun.security.validator.ValidatorException: PKIX path building failed

Self-signed dev/test?

Для dev: TrustManager который принимает всё. НЕ включать в prod код.

Источник: sun.security.validator.ValidatorException: PKIX path building failed

Maven / Gradle?

-Djavax.net.ssl.trustStore в MAVEN_OPTS / GRADLE_OPTS, или в build файлах.

Источник: sun.security.validator.ValidatorException: PKIX path building failed

Why OCSP stapling вообще?

Без stapling клиент сам идёт к OCSP-серверу CA → leak privacy + latency. Stapling = сервер pre-fetches и включает в handshake.

Источник: SEC_ERROR_OCSP_OLD_RESPONSE (Firefox)

Can I disable OCSP?

Firefox — yes (security.OCSP.enabled=0 в about:config), но это плохая практика. Лучше fix server.

Источник: SEC_ERROR_OCSP_OLD_RESPONSE (Firefox)

Only Firefox?

Chrome давно не enforces OCSP soft-fail (CRLSets). Firefox строже. Safari — OCSP через Apple Sectigo.

Источник: SEC_ERROR_OCSP_OLD_RESPONSE (Firefox)

QUIC обязателен 2026?

No, HTTP/2 остаётся universal fallback. QUIC adoption ~25% Chrome traffic на HTTP/3-enabled sites.

Источник: ERR_QUIC_PROTOCOL_ERROR — Chrome HTTP/3

Как detect client-side?

chrome://net-internals/#quic shows active QUIC sessions. chrome://flags/#enable-quic toggle.

Источник: ERR_QUIC_PROTOCOL_ERROR — Chrome HTTP/3

MTU fix?

nginx: listen 443 quic; quic_gso on;. Some CDNs (Cloudflare) handle automatically.

Источник: ERR_QUIC_PROTOCOL_ERROR — Chrome HTTP/3

Мониторить QUIC endpoint?

Enterno SSL checker detects Alt-Svc. Для full QUIC testing — h2load, quiche-client.

Источник: ERR_QUIC_PROTOCOL_ERROR — Chrome HTTP/3

TLS 1.2 в QUIC possible?

Нет. QUIC v1 (RFC 9000) mandate TLS 1.3. Если нет TLS 1.3 на сервере — QUIC невозможен.

Источник: ERR_QUIC_HANDSHAKE_FAILED — начальный handshake

Draft QUIC versions deprecated?

Да, draft-29, draft-33 deprecated в 2022. Chrome v105+ поддерживает только final QUIC v1. Server must upgrade.

Источник: ERR_QUIC_HANDSHAKE_FAILED — начальный handshake

curl --http3 нужен special build?

curl 7.66+ с ngtcp2 и quiche backends. Fedora/Arch — included. macOS brew: brew install curl --HEAD.

Источник: ERR_QUIC_HANDSHAKE_FAILED — начальный handshake

Wireshark QUIC?

Wireshark 3.5+ декодирует QUIC если TLS keys exported (SSLKEYLOGFILE env). Essential для debugging.

Источник: ERR_QUIC_HANDSHAKE_FAILED — начальный handshake

SNI обязателен 2026?

Yes. Все modern browsers send SNI. Server без SNI support = legacy, fails с multiple HTTPS vhosts.

Источник: ERR_SSL_UNRECOGNIZED_NAME_ALERT — SNI mismatch

Default vhost fallback?

nginx: server_name _; matches undefined hosts. Но cert должен все равно match SNI (otherwise UNRECOGNIZED_NAME).

Источник: ERR_SSL_UNRECOGNIZED_NAME_ALERT — SNI mismatch

Encrypted SNI (ECH)?

ECH (RFC 9460) encrypts SNI в TLS 1.3. Cloudflare supports 2023+, Chrome partial. Не вызывает этой ошибки — server-side config мишень.

Источник: ERR_SSL_UNRECOGNIZED_NAME_ALERT — SNI mismatch

Monitor cert match?

Enterno SSL checker валидирует cert-vs-hostname. Scheduled monitors alert на mismatch.

Источник: ERR_SSL_UNRECOGNIZED_NAME_ALERT — SNI mismatch

PEM vs DER?

PEM: text-based base64 (-----BEGIN CERTIFICATE-----). DER: binary ASN.1. nginx reads PEM, Java стеки — DER.

Источник: ERR_SSL_SERVER_CERT_BAD_FORMAT — malformed cert

fullchain.pem format?

Sequential PEM-encoded certs (leaf, intermediate, optional root). Files separated by -----END-BEGIN-----.

Источник: ERR_SSL_SERVER_CERT_BAD_FORMAT — malformed cert

Custom extensions?

EV certs имеют qcStatements (eIDAS), Microsoft CA — specific OIDs. Некоторые libraries (old OpenSSL) не parse these.

Источник: ERR_SSL_SERVER_CERT_BAD_FORMAT — malformed cert

Monitor cert validity?

Enterno SSL daily monitor + email/Telegram alert at 14d before expiry.

Источник: ERR_SSL_SERVER_CERT_BAD_FORMAT — malformed cert

ECH adoption 2026?

Cloudflare ECH enabled на millions sites (default если HTTPS RR present). Chrome 115+ supports. Firefox 118+. Safari 17+.

Источник: ERR_ECH_REQUIRED — Encrypted Client Hello

Зачем ECH?

Traditional TLS leaks SNI (domain) к middleboxes. ECH hides SNI — прайваси для https://adult-site или https://politicsafe.

Источник: ERR_ECH_REQUIRED — Encrypted Client Hello

Disabled by gov?

Some countries (Russia, China) block или filter ECH traffic. Если domain blocked — ECH помогает только частично.

Источник: ERR_ECH_REQUIRED — Encrypted Client Hello

How to test ECH?

browsers.cloudflare.com/ech — online test. curl --ech в future.

Источник: ERR_ECH_REQUIRED — Encrypted Client Hello

DoH vs Do53?

DoH (DNS-over-HTTPS): queries в HTTP/2 к resolver. Do53: classic UDP 53. DoH encrypted, private; но middleboxes могут interfere.

Источник: ERR_DNS_MALFORMED_RESPONSE — DNS reply invalid

DNSSEC debug?

dig +dnssec domain. Если AD flag set = validated. Иначе — chain broken somewhere.

Источник: ERR_DNS_MALFORMED_RESPONSE — DNS reply invalid

Chrome Secure DNS list?

Settings → Security → advanced. Providers: automatic, Cloudflare, Google, Quad9, NextDNS, CleanBrowsing.

Источник: ERR_DNS_MALFORMED_RESPONSE — DNS reply invalid

Monitor DNS?

Enterno DNS checks records + DNSSEC validation chain. Scheduled monitors alert on DNS changes.

Источник: ERR_DNS_MALFORMED_RESPONSE — DNS reply invalid

How reproduce?

curl -v к сайту → покажет partial response + error. Compare с browser dev tools Network tab.

Источник: NET::ERR_INVALID_HTTP_RESPONSE — malformed response

Content-Length mismatch?

PHP outputs content, но echo между header() calls сбрасывает buffer — headers уже sent. Use output buffering: ob_start() + ob_end_flush().

Источник: NET::ERR_INVALID_HTTP_RESPONSE — malformed response

Chunked encoding bugs?

Legacy app server (IIS, Node cluster bugs) могут send invalid chunk. Workaround: force Transfer-Encoding off с Content-Length explicit.

Источник: NET::ERR_INVALID_HTTP_RESPONSE — malformed response

Monitor http integrity?

Enterno HTTP checker detects 502/partial responses. Scheduled monitor alert at первый fail.

Источник: NET::ERR_INVALID_HTTP_RESPONSE — malformed response

Streaming vs buffered?

Streaming: chunked encoding, content flushed по мере generate. Buffered: полный response sent одним куском с Content-Length.

Источник: ERR_INCOMPLETE_CHUNKED_ENCODING — truncated response

LLM specific?

OpenAI/Anthropic streaming отправляет много tiny chunks. Каждый chunk = HTTP chunk. Connection idle timeouts на proxy убивают long streams.

Источник: ERR_INCOMPLETE_CHUNKED_ENCODING — truncated response

SSE и chunked?

SSE использует chunked encoding. Connection длится минуты — proxy timeouts critical. Nginx: proxy_buffering off; для streaming endpoints.

Источник: ERR_INCOMPLETE_CHUNKED_ENCODING — truncated response

Reproduce?

curl -N https://stream-endpoint — verify если проходит full response. Если prematurely cut — backend issue.

Источник: ERR_INCOMPLETE_CHUNKED_ENCODING — truncated response

Как добавить self-signed для dev?

Info.plist → NSAppTransportSecurity → NSExceptionDomains → your-dev-domain → NSExceptionAllowsInsecureHTTPLoads=YES. Но только debug builds.

Источник: NSURLErrorServerCertificateUntrusted (-1202) — iOS/macOS

Certificate pinning best practice?

SHA-256 hash certificate или SPKI pin. Rotate вместе с cert, провалидируйте при каждом build.

Источник: NSURLErrorServerCertificateUntrusted (-1202) — iOS/macOS

iOS игнорирует self-signed?

Да, Foundation по default. Нужен custom trust eval через URLSessionDelegate.

Источник: NSURLErrorServerCertificateUntrusted (-1202) — iOS/macOS

ATS требования 2026?

TLS 1.2+, ECDHE forward secrecy, AES-128-GCM+, SHA-256 signature. Cert с SAN (обязательно).

Источник: NSURLErrorServerCertificateUntrusted (-1202) — iOS/macOS

Что такое Logjam?

Атака 2015 года: precomputed DH group 1024-bit позволяет MITM за ~$100k (state actor). Все major браузеры отвергают < 1024 bit.

Источник: ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY — Logjam fix

4096-bit лучше 2048?

Больше CPU cost с marginal gain (NIST SP 800-131A 2048 secure до 2030+). 2048 рекомендовано как baseline.

Источник: ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY — Logjam fix

ECDHE заменяет DHE?

Да, ECDHE P-256 быстрее + secure. Modern TLS configs используют только ECDHE, отказываясь от DHE полностью.

Источник: ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY — Logjam fix

Мой cert нужно перевыпускать?

Нет, Logjam фикс — server TLS config, cert сам не затрагивается.

Источник: ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY — Logjam fix

Разница Key Usage vs EKU?

Key Usage — primary уровень: что cert может криптографически делать (sign, encrypt). EKU — constraining уровень: для каких applications allowed (server auth, client auth, email, code signing).

Источник: SEC_ERROR_INADEQUATE_KEY_USAGE — Firefox fix

Minimum set для HTTPS?

RSA: KU=digitalSignature,keyEncipherment + EKU=serverAuth. ECDSA: KU=digitalSignature + EKU=serverAuth.

Источник: SEC_ERROR_INADEQUATE_KEY_USAGE — Firefox fix

Private CA нужно адаптировать?

Да. В OpenSSL config: keyUsage=digitalSignature,keyEncipherment + extendedKeyUsage=serverAuth.

Источник: SEC_ERROR_INADEQUATE_KEY_USAGE — Firefox fix

Firefox strict, Chrome нет?

Firefox исторически строже с KU validation. Chrome тоже проверяет, но warnings иногда глуше.

Источник: SEC_ERROR_INADEQUATE_KEY_USAGE — Firefox fix

ISRG Root X1 2026?

Действует. 2021→2035. Cross-signed old DST Root (устарело 2024), но X1 self-trust в 99% современных стеков.

Источник: SEC_ERROR_CA_CERT_INVALID — Firefox fix

nginx fullchain vs cert+chain?

Fullchain включает intermediate. nginx не подгружает intermediate automatically; отправит клиенту только cert → Firefox завалит validation.

Источник: SEC_ERROR_CA_CERT_INVALID — Firefox fix

NSS trust store vs OS?

Firefox использует NSS (отдельно от OS), ≈420 roots. Chrome использует OS trust (Windows/macOS) или Chrome Root Store.

Источник: SEC_ERROR_CA_CERT_INVALID — Firefox fix

Private CA setup?

OpenSSL ca.cnf + valid extensions. Import .crt в about:preferences#privacy → View Certificates → Import.

Источник: SEC_ERROR_CA_CERT_INVALID — Firefox fix

Captive portal — как узнать?

Если из hotel/cafe Wi-Fi — да. Try mobile hotspot. Error gone → captive portal. Redirect через HTTP 302 обычно.

Источник: SSL_ERROR_RX_UNKNOWN_RECORD_TYPE — Firefox

nginx "listen 443" без ssl?

Fatal config error. nginx запускает plain HTTP на 443, клиент посылает TLS, server отвечает plain HTTP → garbage bytes.

Источник: SSL_ERROR_RX_UNKNOWN_RECORD_TYPE — Firefox

MITM detection?

Cert pinning / HPKP (deprecated) / DANE. Или сравнить cert fingerprint: openssl s_client | openssl x509 -fingerprint.

Источник: SSL_ERROR_RX_UNKNOWN_RECORD_TYPE — Firefox

TLS record types?

ChangeCipherSpec(20), Alert(21), Handshake(22), ApplicationData(23), Heartbeat(24). Всё остальное — malformed.

Источник: SSL_ERROR_RX_UNKNOWN_RECORD_TYPE — Firefox

Must-Staple — это что?

Extension cert, которое говорит клиенту: "я жду stapled OCSP response в handshake". Если его нет — cert invalid, даже если OCSP responder timeout.

Источник: MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING

Мой CA ставит Must-Staple?

Let's Encrypt — нет по default. DigiCert — optional. Стало rare в 2024+ потому, что CA-level OCSP стал reliable.

Источник: MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING

Stapling всегда включать?

Да, хороший practice. Reduces RTT, improves privacy (client не запрашивает CA directly).

Источник: MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING

Как проверить?

Enterno SSL показывает OCSP stapling status в report.

Источник: MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING

OCSP vs CRL?

OCSP — real-time status check, CRL — list revoked. OCSP быстрее (один cert), CRL — все revoked сразу. Modern — OCSP stapling.

Источник: ERR_SSL_OCSP_INVALID_RESPONSE — Chrome

Short-lived certs killing OCSP?

Let's Encrypt 90d, потом 6d (2026+). Cert короче чем CRL refresh — OCSP не нужен. Industry тренд.

Источник: ERR_SSL_OCSP_INVALID_RESPONSE — Chrome

Chrome отключает OCSP?

По умолчанию — да, с 2012 (too slow, privacy). Stapling работает, raw OCSP calls — нет.

Источник: ERR_SSL_OCSP_INVALID_RESPONSE — Chrome

Почему ошибка появилась?

Обычно single-client issue: stale local cache. Clear Chrome SSL state: chrome://net-internals/#hsts → Delete domain.

Источник: ERR_SSL_OCSP_INVALID_RESPONSE — Chrome

Почему generic?

Chrome не всегда может узко классифицировать. Если cert имеет несколько проблем одновременно — generic.

Источник: NET::ERR_CERT_INVALID — generic Chrome

Log для analysis?

chrome://net-export/ → Capture → Export JSON. Нетупитно для non-experts, но reports проблему точно.

Источник: NET::ERR_CERT_INVALID — generic Chrome

Быстрая диагностика?

SSLLabs или Enterno SSL Checker. Дадут specific reason + suggest fix.

Источник: NET::ERR_CERT_INVALID — generic Chrome

Self-signed — это ERR_CERT_INVALID?

Обычно ERR_CERT_AUTHORITY_INVALID. Generic _INVALID — rarer.

Источник: NET::ERR_CERT_INVALID — generic Chrome

Renegotiation deprecated?

Secure renegotiation (RFC 5746) ок. Insecure renegotiation — CVE-2009-3555. TLS 1.3 вообще убрал renegotiation, заменил post-handshake auth.

Источник: SSL_ERROR_NO_RENEGOTIATION — Firefox

HTTP/2 + client auth?

HTTP/2 не support renegotiation → separate subdomain для client auth is modern approach.

Источник: SSL_ERROR_NO_RENEGOTIATION — Firefox

Firefox workaround?

Disable TLS 1.3: security.tls.version.max=3 в about:config. НЕ рекомендуется.

Источник: SSL_ERROR_NO_RENEGOTIATION — Firefox

OpenSSL config?

ssl_protocols TLSv1.2 TLSv1.3; + применять client auth на TLS 1.3 only.

Источник: SSL_ERROR_NO_RENEGOTIATION — Firefox

Что значит critical?

RFC 5280: если extension critical — клиент должен уметь его обрабатывать. Иначе reject cert (безопасности ради).

Источник: SEC_ERROR_UNKNOWN_CRITICAL_EXTENSION — Firefox

Chrome strict?

Chrome более лоялен к unknown extensions (если non-critical). Critical — reject тоже.

Источник: SEC_ERROR_UNKNOWN_CRITICAL_EXTENSION — Firefox

Какие extensions обычно critical?

BasicConstraints, KeyUsage, NameConstraints. Custom Policy extensions часто non-critical.

Источник: SEC_ERROR_UNKNOWN_CRITICAL_EXTENSION — Firefox

Debug cert?

https://crt.sh для public cert, или dumpasn1 утилита для binary parsing.

Источник: SEC_ERROR_UNKNOWN_CRITICAL_EXTENSION — Firefox

Что такое SCT?

Signed Certificate Timestamp — cryptographic proof, что cert был записан в публичный CT-лог (Google Argon, Cloudflare Nimbus, etc). Embedded в cert extension, presented в TLS handshake, или stapled через OCSP.

Источник: NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED — исправление

Let's Encrypt включает SCT?

Да, автоматически с 2018. ISRG Root X1 cert имеет SCT в embedded CT extension.

Источник: NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED — исправление

Как проверить наличие SCT?

Enterno SSL Checker показывает CT compliance в SSL-отчёте. Или openssl x509 -in cert.pem -text | grep -A5 "SCT List".

Источник: NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED — исправление

Influence на compliance?

CT compliance требуется для Chrome, Safari, Edge (Firefox not yet). Браузерная доля ~85% — без SCT теряете большинство пользователей.

Источник: NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED — исправление

Чем отличается от ERR_FAILED?

ERR_FAILED — generic fail без деталей. ERR_HTTP_RESPONSE_CODE_FAILURE — specifically HTTP-status problem с точно отслеживаемым code.

Источник: NET::ERR_HTTP_RESPONSE_CODE_FAILURE — исправление

Видно только в preload?

Чаще всего — да. Preload requests инициируются рано, а ресурс может быть ещё не готов.

Источник: NET::ERR_HTTP_RESPONSE_CODE_FAILURE — исправление

Как purge CDN?

Cloudflare: Purge by URL или full purge. AWS: создать invalidation. Yandex Cloud: prefetch API.

Источник: NET::ERR_HTTP_RESPONSE_CODE_FAILURE — исправление

Как проверить HTTP status своих ресурсов?

Enterno HTTP Checker — batch проверка URL + status code + headers.

Источник: NET::ERR_HTTP_RESPONSE_CODE_FAILURE — исправление

Мне НЕ нужен CAA — что делать?

Удалите все CAA records. Тогда любой CA может issue. CAA опционален — по умолчанию никаких ограничений.

Источник: Ошибка CAA violation — сертификат не авторизован

Кто проверяет CAA?

CA перед issuance (обязательно для public CA с 2017). Browsers не проверяют CAA.

Источник: Ошибка CAA violation — сертификат не авторизован

iodef CAA — обязателен?

Нет. iodef — email для уведомления при попытке мiss-issuance. Полезно, но опционально.

Источник: Ошибка CAA violation — сертификат не авторизован

Как проверить CAA?

Enterno DNS → CAA type. Или dig CAA example.com.

Источник: Ошибка CAA violation — сертификат не авторизован

Chrome и Firefox одинаково блокируют?

Да, с 2020: TLS 1.0 + 1.1 отключены. Safari, Edge followed. TLS 1.2 минимум.

Источник: SSL_ERROR_PROTOCOL_VERSION_ALERT — TLS version mismatch

Как узнать какой TLS мой сервер?

Enterno SSL shows supported versions. Или openssl s_client -connect host:443 -tls1_3.

Источник: SSL_ERROR_PROTOCOL_VERSION_ALERT — TLS version mismatch

Сервер работал, вчера перестал — что?

Обычно browser auto-update. Chrome 84+ (июль 2020) enabled TLS 1.0/1.1 block by default.

Источник: SSL_ERROR_PROTOCOL_VERSION_ALERT — TLS version mismatch

Safe ли TLS 1.2 в 2026?

Да. TLS 1.3 лучше, но 1.2 secure при правильных ciphers. Обе — accepted стандарты.

Источник: SSL_ERROR_PROTOCOL_VERSION_ALERT — TLS version mismatch

MITM реально?

Возможно. Если error появляется только из определённой сети — проверьте proxy/firewall там.

Источник: ERR_SSL_BAD_HANDSHAKE_HASH_VALUE — исправление

Как safely test?

Из mobile hotspot или VPN-exit в другой стране. Если там работает — проблема в local network.

Источник: ERR_SSL_BAD_HANDSHAKE_HASH_VALUE — исправление

SHA-1 всё ещё доступен?

Для cert signatures — нет (Chrome blocks с 2017). Для HMAC в handshake — legacy accepted, но not preferred.

Источник: ERR_SSL_BAD_HANDSHAKE_HASH_VALUE — исправление

Permanent fix?

Modern TLS config (1.2+1.3, GCM ciphers). Большинство browsers работают.

Источник: ERR_SSL_BAD_HANDSHAKE_HASH_VALUE — исправление

HTTP/2 cipher requirements — почему строгие?

RFC 7540 prohibits vulnerable ciphers на protocol level. Даже если TLS принял cipher, HTTP/2 его rejects для defence-in-depth.

Источник: ERR_HTTP2_INADEQUATE_TRANSPORT_SECURITY — HTTP/2 over weak TLS

HTTP/3 имеет те же требования?

Похожие, через QUIC. TLS 1.3 only для QUIC.

Источник: ERR_HTTP2_INADEQUATE_TRANSPORT_SECURITY — HTTP/2 over weak TLS

Обратная совместимость?

HTTP/1.1 fallback работает для старых клиентов. Но для HTTP/2 — strict cipher requirements.

Источник: ERR_HTTP2_INADEQUATE_TRANSPORT_SECURITY — HTTP/2 over weak TLS

Mozilla SSL Config Generator?

Использовать для правильного config: ssl-config.mozilla.org. Выбирайте Modern или Intermediate.

Источник: ERR_HTTP2_INADEQUATE_TRANSPORT_SECURITY — HTTP/2 over weak TLS

OCSP vs CRL?

OCSP — запрос status of ONE cert в real-time. CRL — download full list. OCSP faster, CRL простее для offline validation.

Источник: ERR_TLS_CERT_VALIDATION_TIMED_OUT — OCSP timeout

OCSP Stapling обязателен?

Для Must-Staple certs — да. Для regular — strongly recommended, часто ускоряет handshake на 100-300ms.

Источник: ERR_TLS_CERT_VALIDATION_TIMED_OUT — OCSP timeout

Client caches OCSP?

Да, до 7 дней обычно. Поэтому одиночный timeout не повторяется часто.

Источник: ERR_TLS_CERT_VALIDATION_TIMED_OUT — OCSP timeout

Server-side fixes?

ssl_stapling on + valid resolver. nginx самостоятельно fetches OCSP + кэширует.

Источник: ERR_TLS_CERT_VALIDATION_TIMED_OUT — OCSP timeout

Какие TLD сейчас "collide"?

.corp, .home, .mail, .office — NOT в публичном use но зарезервированы ICANN. Safer .internal (proposed reserved), .home.arpa, .localhost.

Источник: ERR_ICANN_NAME_COLLISION — внутренний TLD конфликт

Это security risk?

Да: attacker может register .corp domain, резолвить internal names к malicious IPs, MITM.

Источник: ERR_ICANN_NAME_COLLISION — внутренний TLD конфликт

Chrome специфично блокирует?

Chrome warn, не block. Но может рассматривать как suspicious для certain workflows.

Источник: ERR_ICANN_NAME_COLLISION — внутренний TLD конфликт

Reserved TLDs 2026?

.internal (IETF draft), .test, .localhost, .invalid, .example — safe. Any другой — ideally в публичном реестре.

Источник: ERR_ICANN_NAME_COLLISION — внутренний TLD конфликт

Сколько ждать Let's Encrypt после revocation?

Сразу можно выпустить новый. Certbot auto-handles. Revocation не влияет на rate limit (те же 5 requests per week per domain).

Источник: ERR_CERT_REVOKED — сертификат отозван CA

Revoked cert остался на клиентах в кэше?

Да, если OCSP soft-fail. Rigorous validation (Chrome Must-Staple, Firefox) сразу отсекает. Mobile apps — до 7 дней кэша.

Источник: ERR_CERT_REVOKED — сертификат отозван CA

Как узнать revocation reason?

Let's Encrypt — в email. Commercial CA — в dashboard account.

Источник: ERR_CERT_REVOKED — сертификат отозван CA

Проверить активно ли?

Enterno SSL-чекер → статус cert (Active / Revoked / Expired).

Источник: ERR_CERT_REVOKED — сертификат отозван CA

Чем отличается от ERR_EMPTY_RESPONSE?

ERR_EMPTY_RESPONSE — сервер принял connection но не отправил данные. ERR_CONNECTION_RESET — соединение оборвано RST-пакетом.

Источник: ERR_CONNECTION_RESET — соединение сброшено в Chrome

Как понять ISP блок или не ISP?

Попробуйте через VPN. Если через VPN работает — ISP. Если везде падает — проблема сервера.

Источник: ERR_CONNECTION_RESET — соединение сброшено в Chrome

Browsers показывают ERR_CONNECTION_RESET или ERR_CONNECTION_ABORTED — что выбрать?

ABORTED = клиент отменил (redirect/close). RESET = пакет RST от другой стороны (сервер/прокси/DPI).

Источник: ERR_CONNECTION_RESET — соединение сброшено в Chrome

Как проверить доступность?

Ping + Port Checker Enterno — проверит TCP 443 с разных регионов + мониторинг.

Источник: ERR_CONNECTION_RESET — соединение сброшено в Chrome

Сколько именно redirects — limit?

Chrome: 20 redirects. Firefox: 20. После этого — блок. Curl по умолчанию 50.

Источник: ERR_TOO_MANY_REDIRECTS — цикл редиректов исправление 2026

Как проверить свою цепочку?

Enterno Redirects Checker покажет весь chain + коды + timing. Или curl -IL -w "redirects: %{num_redirects}\n" https://example.com.

Источник: ERR_TOO_MANY_REDIRECTS — цикл редиректов исправление 2026

Cloudflare Flexible vs Full?

Flexible: Edge↔User = HTTPS, но Origin↔Edge = HTTP. Flexible + redirect к HTTPS в PHP = loop. Full: оба HTTPS — нет петли.

Источник: ERR_TOO_MANY_REDIRECTS — цикл редиректов исправление 2026

Loop появился после HSTS preload?

Если да — домен навсегда HTTPS-only. HTTP redirect не поможет. Фиксируйте только на стороне HTTPS → правильный target.

Источник: ERR_TOO_MANY_REDIRECTS — цикл редиректов исправление 2026

Какие браузеры заблокировали TLS 1.0/1.1?

Chrome 84 (июль 2020), Firefox 78 (июль 2020), Edge 84, Safari 14 (сентябрь 2020). К 2026 — все modern browsers.

Источник: ERR_SSL_OBSOLETE_VERSION — блок устаревших TLS 1.0/1.1

Что если клиент использует старый Android (API<21)?

Android < 5.0 не умеет TLS 1.2. У вас 2 опции: держать parallel-subdomain с TLS 1.0 (ОПАСНО), либо отказаться от этих клиентов. На 2026 их <0.5% трафика.

Источник: ERR_SSL_OBSOLETE_VERSION — блок устаревших TLS 1.0/1.1

IoT устройство не может до сервера — отключить TLS 1.2?

Нет. Лучше положить устройство в отдельный VLAN без интернета и общаться с ним изнутри через TLS 1.0, но сайт сервер — только 1.2+1.3.

Источник: ERR_SSL_OBSOLETE_VERSION — блок устаревших TLS 1.0/1.1

Как проверить поддерживаемые TLS?

Enterno SSL или в shell: openssl s_client -connect example.com:443 -tls1_2.

Источник: ERR_SSL_OBSOLETE_VERSION — блок устаревших TLS 1.0/1.1

Почему Firefox строже Chrome?

Mozilla's NSS имеет более консервативный подход. AES-CBC без SHA-256 — Firefox не принимает с 2022, Chrome ещё принимает.

Источник: SSL_ERROR_NO_CYPHER_OVERLAP — Firefox и нет общих шифров

На legacy-Windows клиент — работает ли?

Windows XP + Firefox — нет, SHA-1 signatures блокированы. Windows 7 + Firefox 78+ — OK для AES-GCM.

Источник: SSL_ERROR_NO_CYPHER_OVERLAP — Firefox и нет общих шифров

Как протестировать cipher matching?

openssl s_client -connect example.com:443 -cipher ECDHE-RSA-AES128-GCM-SHA256. Если error = не поддерживает.

Источник: SSL_ERROR_NO_CYPHER_OVERLAP — Firefox и нет общих шифров

Перехожу с 3DES на AES, потеряю ли пользователей?

Только IE 6/7 на XP. На 2026 это статистически ноль.

Источник: SSL_ERROR_NO_CYPHER_OVERLAP — Firefox и нет общих шифров

Почему именно cookies вызывают?

Cookies накапливаются per-domain. WordPress + WooCommerce + Analytics = 6-10 KB легко. HTTP/2 по умолчанию 8 KB limit.

Источник: ERR_HTTP2_PROTOCOL_ERROR — проблемы с HTTP/2

HTTP/2 push — причина?

Server Push deprecated в Chrome 106+. Если у вас server push включён — отключите, это источник многих HTTP/2 багов.

Источник: ERR_HTTP2_PROTOCOL_ERROR — проблемы с HTTP/2

ERR_HTTP2_PROTOCOL_ERROR только на одной странице?

Значит специфичный header или response. Откройте DevTools → Network → запросите эту страницу → Headers tab.

Источник: ERR_HTTP2_PROTOCOL_ERROR — проблемы с HTTP/2

Как проверить HTTP/2?

Enterno SSL/TLS показывает ALPN = h2. Или curl -I --http2 https://example.com.

Источник: ERR_HTTP2_PROTOCOL_ERROR — проблемы с HTTP/2

Почему Firefox так строг?

Mozilla pins certain root CAs и detects if chain has been tampered. MITM на google.com — реальный phishing вектор.

Источник: MOZILLA_PKIX_ERROR_MITM_DETECTED — Firefox

Chrome то же самое показывает?

Chrome показывает ERR_CERT_SYMANTEC_LEGACY или NET::ERR_CERT_AUTHORITY_INVALID с пометкой "Pinning". Сообщение мягче.

Источник: MOZILLA_PKIX_ERROR_MITM_DETECTED — Firefox

Корпоративный прокси — это безопасно?

Зависит. IT decrypts ваш трафик. Вы должны доверять политикам безопасности компании и законодательству.

Источник: MOZILLA_PKIX_ERROR_MITM_DETECTED — Firefox

Как проверить что серт настоящий?

Enterno SSL-чекер из чистой сети (не вашей офисной) — покажет реальный CA.

Источник: MOZILLA_PKIX_ERROR_MITM_DETECTED — Firefox

Что такое Cross-Origin Isolation?

Режим, в котором страница защищена от Spectre-атак. Требуется для SharedArrayBuffer, performance.measureUserAgentSpecificMemory и высокоточных таймеров.

Источник: ERR_BLOCKED_BY_RESPONSE — COEP/CORP blocking

Когда я вижу эту ошибку?

DevTools → Console → "Failed to load resource: net::ERR_BLOCKED_BY_RESPONSE". В Network тaб resource помечен красным.

Источник: ERR_BLOCKED_BY_RESPONSE — COEP/CORP blocking

Spectre-mitigations — это про безопасность?

Да. Без COOP/COEP страница не может безопасно использовать SharedArrayBuffer — отсюда ограничения Chrome.

Источник: ERR_BLOCKED_BY_RESPONSE — COEP/CORP blocking

Как удобно тестировать?

Enterno CORS checker проверит Access-Control-* headers. + DevTools → Network → Response Headers.

Источник: ERR_BLOCKED_BY_RESPONSE — COEP/CORP blocking

Чем отличается от ERR_CONNECTION_REFUSED?

REFUSED = сервер ответил RST (сервис на порту не слушает). UNREACHABLE = IP не отвечает совсем (network issue).

Источник: ERR_ADDRESS_UNREACHABLE — сервер недоступен

Ошибка только у меня?

Проверьте через Enterno Ping с разных регионов. Если только ваша сеть — ваша проблема (или РКН).

Источник: ERR_ADDRESS_UNREACHABLE — сервер недоступен

Как долго ждать восстановление?

Зависит от причины. DC outage — часы. DNS-propagation — 5-60 мин. Hardware — сложнее.

Источник: ERR_ADDRESS_UNREACHABLE — сервер недоступен

Ошибка из мобильного но не desktop?

Мобильные carriers имеют другой DNS/routing. Попробуйте 8.8.8.8 на phone.

Источник: ERR_ADDRESS_UNREACHABLE — сервер недоступен

Что такое CRIME attack?

CRIME (CVE-2012-4929) — attacker measures compressed size of responses containing secrets (cookies, CSRF tokens). TLS compression revealed secrets через side-channel.

Источник: ERR_SSL_DECOMPRESSION_FAILURE_ALERT — CRIME mitigation

TLS compression — то же что gzip content-encoding?

Нет. TLS compression — компрессия на transport layer. gzip — application layer. Gzip безопасно.

Источник: ERR_SSL_DECOMPRESSION_FAILURE_ALERT — CRIME mitigation

В каком TLS версии compression есть?

TLS 1.0-1.2 — была опциональная. TLS 1.3 — removed completely. Никогда не увидите в TLS 1.3.

Источник: ERR_SSL_DECOMPRESSION_FAILURE_ALERT — CRIME mitigation

Как проверить что compression off?

Enterno SSL не проверяет compression, но negotiated TLS 1.3 → compression гарантированно off.

Источник: ERR_SSL_DECOMPRESSION_FAILURE_ALERT — CRIME mitigation

Что такое TLS renegotiation?

Процесс во время активной TLS-сессии, когда стороны пересогласовывают keys/cipher/auth без разрыва connection. TLS 1.3 заменил на post-handshake auth.

Источник: ERR_SSL_RENEGOTIATION_NOT_SUPPORTED — TLS renegotiation

Почему renegotiation удалили?

Vulnerable к atak (CVE-2009-3555 renegotiation MITM). TLS 1.3 использует KeyUpdate и post-handshake auth — безопасная замена.

Источник: ERR_SSL_RENEGOTIATION_NOT_SUPPORTED — TLS renegotiation

Как настроить mTLS в 2026?

Для TLS 1.3: server отправляет CertificateRequest при handshake, client отвечает. Без renegotiation. Nginx поддерживает.

Источник: ERR_SSL_RENEGOTIATION_NOT_SUPPORTED — TLS renegotiation

Legacy Java client — что делать?

Обновите до Java 17+ (TLS 1.3 support). Или оставьте TLS 1.2 для этого endpoint + правильно настройте mTLS.

Источник: ERR_SSL_RENEGOTIATION_NOT_SUPPORTED — TLS renegotiation

Как проверить какой TLS поддерживает сервер?

Через SSL-чекер Enterno.io или в терминале: openssl s_client -connect example.com:443 -tls1_2. Если ошибка — TLS 1.2 не поддерживается.

Источник: ERR_SSL_VERSION_OR_CIPHER_MISMATCH — причины и исправление 2026

Можно ли обойти ошибку через флаги Chrome?

Нет безопасного способа. Включение TLS 1.0/1.1 в Chrome больше не поддерживается с 2020 года. Исправляйте сервер.

Источник: ERR_SSL_VERSION_OR_CIPHER_MISMATCH — причины и исправление 2026

Что делать, если сервер управляется хостером?

Напишите в поддержку хостинга — попросите включить TLS 1.2+1.3 и отключить SSLv3/TLS 1.0/1.1. Серьёзные хостеры делают это за 1-2 часа.

Источник: ERR_SSL_VERSION_OR_CIPHER_MISMATCH — причины и исправление 2026

При чём тут SNI?

SNI (Server Name Indication) — сервер видит какой домен запрошен и возвращает нужный сертификат. Без SNI сервер отдаст дефолтный, часто с неподходящим именем → mismatch.

Источник: ERR_SSL_VERSION_OR_CIPHER_MISMATCH — причины и исправление 2026

Почему в Chrome работает, а в Firefox нет?

Chrome и Firefox имеют разные списки доверенных CA. Chrome с 2023 использует собственный chrome-root-store. Если ваш CA только в Chrome store — Firefox покажет SEC_ERROR_UNKNOWN_ISSUER.

Источник: SEC_ERROR_UNKNOWN_ISSUER — исправление ошибки Firefox 2026

Как временно обойти ошибку?

Нажмите "Advanced → Accept the Risk and Continue". Работает только для разовых посещений. Не рекомендуется для прод-сайтов.

Источник: SEC_ERROR_UNKNOWN_ISSUER — исправление ошибки Firefox 2026

Что такое Mozilla CA Certificate Program?

Публичный список CA, которым доверяет Firefox. Включает ~150 CA. Попадание туда занимает 1–2 года и требует аудита WebTrust.

Источник: SEC_ERROR_UNKNOWN_ISSUER — исправление ошибки Firefox 2026

Let's Encrypt есть в Firefox?

Да. Cross-signed через ISRG Root X1, который в Mozilla store. 100% работает во всех современных Firefox.

Источник: SEC_ERROR_UNKNOWN_ISSUER — исправление ошибки Firefox 2026

Почему Apple/Google/Mozilla решили ограничить срок?

Короткий срок заставляет чаще перевыпускать сертификаты → меньше риск компрометации ключа, быстрее вывод уязвимых сертификатов из обращения.

Источник: ERR_CERT_VALIDITY_TOO_LONG — сертификат действует больше 398 дней

398 дней — почему именно столько?

Это 13 месяцев + buffer для продления. Ограничение Apple с 2020: max 398 дней. Google и Mozilla присоединились.

Источник: ERR_CERT_VALIDITY_TOO_LONG — сертификат действует больше 398 дней

Можно ли обойти в Chrome через флаги?

Нет. Это встроенная политика safetynet, не отключается.

Источник: ERR_CERT_VALIDITY_TOO_LONG — сертификат действует больше 398 дней

Let's Encrypt 90 дней — это раздражает, альтернативы?

ZeroSSL, Buypass — бесплатные альтернативы с 90-дневными cert. Коммерческие (DigiCert, Sectigo) — 1 год. Все ≤ 398 дней.

Источник: ERR_CERT_VALIDITY_TOO_LONG — сертификат действует больше 398 дней

Что такое SNI и зачем он нужен?

Server Name Indication — расширение TLS, позволяющее одному IP обслуживать несколько HTTPS-сайтов. Клиент сообщает, к какому домену подключается, до handshake.

Источник: ERR_SSL_UNRECOGNIZED_NAME_ALERT — SNI mismatch в Chrome

Без SNI работает?

Только на сервере с 1 сертификатом для 1 домена (или wildcard). При shared hosting без SNI — невозможно.

Источник: ERR_SSL_UNRECOGNIZED_NAME_ALERT — SNI mismatch в Chrome

Unrecognized_name alert — это fatal или warning?

По RFC 6066 это warning. Старые клиенты могут его игнорировать, Chrome — считает fatal и блокирует.

Источник: ERR_SSL_UNRECOGNIZED_NAME_ALERT — SNI mismatch в Chrome

Как протестировать SNI?

В терминале: openssl s_client -connect IP:443 -servername example.com. Без -servername (SNI) увидите alert 112.

Источник: ERR_SSL_UNRECOGNIZED_NAME_ALERT — SNI mismatch в Chrome

Чем отличается от ERR_CONNECTION_REFUSED?

Refused — TCP connect не удался (сервер не слушает). Empty — соединение есть, но ответ пуст. Причина глубже: worker упал после accept().

Источник: ERR_EMPTY_RESPONSE — сервер не ответил. Причины и исправление

Возникает только на POST-запросах — почему?

Большие POST-body превышают client_max_body_size nginx или post_max_size PHP. PHP-FPM отклоняет, nginx рвёт соединение → empty response.

Источник: ERR_EMPTY_RESPONSE — сервер не ответил. Причины и исправление

Как поймать точный момент падения?

Включите nginx access_log с $upstream_response_time и $upstream_status. Пустой upstream_status + время = вот момент.

Источник: ERR_EMPTY_RESPONSE — сервер не ответил. Причины и исправление

Помогает ли перезапуск?

Временно да, но проблема вернётся. Найдите root cause через логи.

Источник: ERR_EMPTY_RESPONSE — сервер не ответил. Причины и исправление

Что такое MAC в TLS?

Message Authentication Code — криптографический хеш, встроенный в каждую TLS-запись. Проверяет, что данные не изменены в пути. Bad MAC = данные искажены.

Источник: ERR_SSL_BAD_RECORD_MAC_ALERT — искажённое TLS-сообщение

Это атака?

Обычно нет. Чаще — баги железа/ПО. Но постоянные bad MAC могут указывать на MITM-атаку (очень редко).

Источник: ERR_SSL_BAD_RECORD_MAC_ALERT — искажённое TLS-сообщение

Почему АВ всё портит?

TLS-inspection расшифровывает трафик, вставляет свой сертификат, зашифровывает обратно. При багах — MAC не совпадает.

Источник: ERR_SSL_BAD_RECORD_MAC_ALERT — искажённое TLS-сообщение

Ошибка только в мобильном браузере — почему?

Мобильные сети часто имеют низкий MTU (1400–1460). Десктоп через WiFi — 1500. Разница → фрагментация на TLS-слое.

Источник: ERR_SSL_BAD_RECORD_MAC_ALERT — искажённое TLS-сообщение

Что такое extKeyUsage?

Extended Key Usage — X.509 extension, описывающий для каких целей cert предназначен: serverAuth, clientAuth, codeSigning, emailProtection. Browser проверяет наличие serverAuth для HTTPS.

Источник: ERR_SSL_KEY_USAGE_INCOMPATIBLE — cert не для server-auth

Почему раньше работало, теперь нет?

Старые браузеры не проверяли extKeyUsage строго. Chrome 82+ требует serverAuth явно. Cert, работавший 5 лет назад, теперь блокируется.

Источник: ERR_SSL_KEY_USAGE_INCOMPATIBLE — cert не для server-auth

Можно ли добавить extKeyUsage в существующий cert?

Нет — cert подписан CA. Изменение структуры инвалидирует подпись. Только перевыпуск.

Источник: ERR_SSL_KEY_USAGE_INCOMPATIBLE — cert не для server-auth

Let's Encrypt точно подходит?

Да. Все ACME-cert выпускаются с serverAuth,clientAuth в extKeyUsage. Универсальный формат.

Источник: ERR_SSL_KEY_USAGE_INCOMPATIBLE — cert не для server-auth

Что такое HPKP и почему deprecated?

HTTP Public Key Pinning — механизм, привязывающий домен к конкретным публичным ключам. Chrome 72+ удалил поддержку (2018) из-за риска потери доступа к домену при ошибке настройки.

Источник: NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN — HPKP/Pinning

Static pinning в Chrome — что это?

Chrome встроенно хранит pins для ~50 крупных сайтов (Google, Facebook, Twitter). Не отключается через UI. Защищает от MITM-атак на эти домены.

Источник: NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN — HPKP/Pinning

Как полностью сбросить Chrome state для домена?

chrome://net-internals/#hsts → Delete domain. Также очистите cookies/cache для домена. Перезапустите Chrome.

Источник: NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN — HPKP/Pinning

Expect-CT header — замена HPKP?

Нет. Expect-CT требует сертификат в CT-логах (Certificate Transparency), не pinning. Тоже deprecated с 2022 — CT теперь enforced автоматически.

Источник: NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN — HPKP/Pinning

Что такое mTLS?

Mutual TLS — двусторонняя аутентификация. Сервер проверяет клиентский сертификат перед выдачей ответа. Используется в банкинге, enterprise API, госуслугах.

Источник: ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED — mTLS client cert

Почему Chrome не запросил выбор сертификата?

Если подходящий cert один — Chrome использует автоматически. Если несколько или ни одного — появится dialog. Поведение настраивается в chrome://policy.

Источник: ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED — mTLS client cert

Ошибка только в Chrome, в Firefox работает — почему?

Firefox имеет собственное cert store (NSS), независимое от ОС. Chrome использует системное. Разные хранилища = разные доступы.

Источник: ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED — mTLS client cert

Как импортировать p12 в Chrome?

chrome://settings/certificates → Your certificates → Import. Введите пароль p12. Cert появится в списке и станет доступным для mTLS.

Источник: ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED — mTLS client cert

Почему Google наказал Symantec?

Symantec в 2015–2017 выпустил тысячи неправильных cert (включая для google.com без разрешения). Chrome объявил distrust в 2017, применил в Chrome 70 (октябрь 2018).

Источник: ERR_CERT_SYMANTEC_LEGACY — устаревший Symantec-cert 2026

DigiCert купил Symantec — значит ли это перевыпуск работает?

Да. DigiCert в августе 2017 приобрёл Symantec website security business. Новые cert от DigiCert CA валидны в Chrome.

Источник: ERR_CERT_SYMANTEC_LEGACY — устаревший Symantec-cert 2026

Можно ли обойти ошибку?

Нет флагов Chrome для обхода. Единственный путь — перевыпуск cert.

Источник: ERR_CERT_SYMANTEC_LEGACY — устаревший Symantec-cert 2026

А в Firefox/Safari работает старый cert?

Mozilla и Apple применили похожий distrust. В 2026 практически нигде не работают.

Источник: ERR_CERT_SYMANTEC_LEGACY — устаревший Symantec-cert 2026

Безопасно ли игнорировать ERR_CERT_DATE_INVALID?

Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.

Источник: ERR_CERT_DATE_INVALID — как исправить (2026)

Как проверить наличие этой ошибки заранее?

Используйте SSL/TLS-чекер Enterno.io или настройте мониторинг с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.

Источник: ERR_CERT_DATE_INVALID — как исправить (2026)

Помогает ли очистка cookies / cache?

Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.

Источник: ERR_CERT_DATE_INVALID — как исправить (2026)

Let's Encrypt бесплатный — и сертификат валидный?

Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.

Источник: ERR_CERT_DATE_INVALID — как исправить (2026)

Безопасно ли игнорировать ERR_SSL_PROTOCOL_ERROR?

Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.

Источник: ERR_SSL_PROTOCOL_ERROR — как исправить (2026)

Как проверить наличие этой ошибки заранее?

Используйте SSL/TLS-чекер Enterno.io или настройте мониторинг с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.

Источник: ERR_SSL_PROTOCOL_ERROR — как исправить (2026)

Помогает ли очистка cookies / cache?

Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.

Источник: ERR_SSL_PROTOCOL_ERROR — как исправить (2026)

Let's Encrypt бесплатный — и сертификат валидный?

Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.

Источник: ERR_SSL_PROTOCOL_ERROR — как исправить (2026)

Безопасно ли игнорировать ERR_CERT_COMMON_NAME_INVALID?

Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.

Источник: ERR_CERT_COMMON_NAME_INVALID — несовпадение домена [2026]

Как проверить наличие этой ошибки заранее?

Используйте SSL/TLS-чекер Enterno.io или настройте мониторинг с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.

Источник: ERR_CERT_COMMON_NAME_INVALID — несовпадение домена [2026]

Помогает ли очистка cookies / cache?

Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.

Источник: ERR_CERT_COMMON_NAME_INVALID — несовпадение домена [2026]

Let's Encrypt бесплатный — и сертификат валидный?

Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.

Источник: ERR_CERT_COMMON_NAME_INVALID — несовпадение домена [2026]

Безопасно ли игнорировать SSL_ERROR_BAD_CERT_DOMAIN?

Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.

Источник: SSL_ERROR_BAD_CERT_DOMAIN — как исправить [2026]

Как проверить наличие этой ошибки заранее?

Используйте SSL/TLS-чекер Enterno.io или настройте мониторинг с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.

Источник: SSL_ERROR_BAD_CERT_DOMAIN — как исправить [2026]

Помогает ли очистка cookies / cache?

Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.

Источник: SSL_ERROR_BAD_CERT_DOMAIN — как исправить [2026]

Let's Encrypt бесплатный — и сертификат валидный?

Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.

Источник: SSL_ERROR_BAD_CERT_DOMAIN — как исправить [2026]

Безопасно ли игнорировать Mixed Content?

Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.

Источник: Mixed Content — как исправить HTTPS-предупреждение [2026]

Как проверить наличие этой ошибки заранее?

Используйте SSL/TLS-чекер Enterno.io или настройте мониторинг с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.

Источник: Mixed Content — как исправить HTTPS-предупреждение [2026]

Помогает ли очистка cookies / cache?

Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.

Источник: Mixed Content — как исправить HTTPS-предупреждение [2026]

Let's Encrypt бесплатный — и сертификат валидный?

Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.

Источник: Mixed Content — как исправить HTTPS-предупреждение [2026]

Безопасно ли игнорировать HSTS Error?

Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.

Источник: HSTS Error — как обойти Strict-Transport-Security [2026]

Как проверить наличие этой ошибки заранее?

Используйте SSL/TLS-чекер Enterno.io или настройте мониторинг с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.

Источник: HSTS Error — как обойти Strict-Transport-Security [2026]

Помогает ли очистка cookies / cache?

Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.

Источник: HSTS Error — как обойти Strict-Transport-Security [2026]

Let's Encrypt бесплатный — и сертификат валидный?

Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.

Источник: HSTS Error — как обойти Strict-Transport-Security [2026]

Безопасно ли игнорировать SSL Handshake Failed?

Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.

Источник: SSL Handshake Failed — как исправить [2026]

Как проверить наличие этой ошибки заранее?

Используйте SSL/TLS-чекер Enterno.io или настройте мониторинг с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.

Источник: SSL Handshake Failed — как исправить [2026]

Помогает ли очистка cookies / cache?

Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.

Источник: SSL Handshake Failed — как исправить [2026]

Let's Encrypt бесплатный — и сертификат валидный?

Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.

Источник: SSL Handshake Failed — как исправить [2026]

Безопасно ли игнорировать ERR_CERT_WEAK_SIGNATURE_ALGORITHM?

Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.

Источник: ERR_CERT_WEAK_SIGNATURE_ALGORITHM — слабый хэш [2026]

Как проверить наличие этой ошибки заранее?

Используйте SSL/TLS-чекер Enterno.io или настройте мониторинг с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.

Источник: ERR_CERT_WEAK_SIGNATURE_ALGORITHM — слабый хэш [2026]

Помогает ли очистка cookies / cache?

Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.

Источник: ERR_CERT_WEAK_SIGNATURE_ALGORITHM — слабый хэш [2026]

Let's Encrypt бесплатный — и сертификат валидный?

Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.

Источник: ERR_CERT_WEAK_SIGNATURE_ALGORITHM — слабый хэш [2026]

Безопасно ли игнорировать SSL_ERROR_RX_RECORD_TOO_LONG?

Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.

Источник: SSL_ERROR_RX_RECORD_TOO_LONG — неправильный порт [2026]

Как проверить наличие этой ошибки заранее?

Используйте SSL/TLS-чекер Enterno.io или настройте мониторинг с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.

Источник: SSL_ERROR_RX_RECORD_TOO_LONG — неправильный порт [2026]

Помогает ли очистка cookies / cache?

Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.

Источник: SSL_ERROR_RX_RECORD_TOO_LONG — неправильный порт [2026]

Let's Encrypt бесплатный — и сертификат валидный?

Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.

Источник: SSL_ERROR_RX_RECORD_TOO_LONG — неправильный порт [2026]

Безопасно ли обойти ошибку NET::ERR_CERT_AUTHORITY_INVALID?

Нет. Chrome показывает эту ошибку потому, что не может проверить подлинность сайта. Обход (через chrome://flags или thisisunsafe) делает соединение уязвимым к man-in-the-middle атакам. Безопасно проходить только при тестировании собственного dev-сервера.

Источник: NET::ERR_CERT_AUTHORITY_INVALID — как исправить ошибку в 2026

Почему ошибка появляется только в Chrome, а в Firefox всё работает?

Chrome и Firefox имеют разные trust stores. Chrome использует свой root CA список (chrome-root-store), Firefox — Mozilla CA список. Если ваш CA есть в Mozilla, но не в Chrome, ошибка покажется только в Chrome.

Источник: NET::ERR_CERT_AUTHORITY_INVALID — как исправить ошибку в 2026

Можно ли исправить на стороне клиента?

Если ошибка появляется на одном сайте — исправлять нужно на сервере. Если на всех HTTPS-сайтах — проверьте системное время, обновите Chrome, проверьте корпоративный proxy (он может подменять сертификаты).

Источник: NET::ERR_CERT_AUTHORITY_INVALID — как исправить ошибку в 2026

Как проверить SSL-цепочку онлайн?

Используйте SSL/TLS чекер Enterno.io — введите домен, получите полную цепочку сертификатов, дату истечения, издателя и предупреждения. Бесплатно и без регистрации.

Источник: NET::ERR_CERT_AUTHORITY_INVALID — как исправить ошибку в 2026

Let's Encrypt бесплатный — будет ли доверенный сертификат?

Да. Let's Encrypt — CA, включённый во все современные trust stores (Chrome, Firefox, Safari, Edge). Сертификаты действительны 90 дней, автоматическое продление через certbot.

Источник: NET::ERR_CERT_AUTHORITY_INVALID — как исправить ошибку в 2026

Порты (194)

DNP3 vs Modbus?

DNP3 — event-driven, с приоритизацией и time-sync. Для utility-grade. Modbus — простой poll-only.

Источник: Порт 20000 — DNP3

Secure Authentication обязательна?

В US NERC CIP — yes. В РФ — зависит от регулятора. Always-on TLS — лучшая практика 2026.

Источник: Порт 20000 — DNP3

Есть open-source stack?

opendnp3 (c++), pydnp3 (python bindings), dnp3-rs (Rust, Stepfunc).

Источник: Порт 20000 — DNP3

Зачем закрывать порт 9200?

Каждый открытый порт — потенциальная точка входа. Если сервис не используется — закройте.

Источник: Порт 9200 (Elasticsearch) — что это и безопасность [2026]

Зачем закрывать порт 139?

Каждый открытый порт — потенциальная точка входа. Если сервис не используется — закройте.

Источник: Порт 139 (NetBIOS-SSN) — что это и безопасность [2026]

Зачем закрывать порт 123?

Каждый открытый порт — потенциальная точка входа. Если сервис не используется — закройте.

Источник: Порт 123 (NTP) — что это и безопасность [2026]

Зачем закрывать порт 5060?

Каждый открытый порт — потенциальная точка входа. Если сервис не используется — закройте.

Источник: Порт 5060 (SIP) — что это и безопасность [2026]

Зачем закрывать порт 389?

Каждый открытый порт — потенциальная точка входа. Если сервис не используется — закройте.

Источник: Порт 389 (LDAP) — что это и безопасность [2026]

Зачем закрывать порт 1723?

Каждый открытый порт — потенциальная точка входа. Если сервис не используется — закройте.

Источник: Порт 1723 (PPTP) — что это и безопасность [2026]

Зачем закрывать порт 554?

Каждый открытый порт — потенциальная точка входа. Если сервис не используется — закройте.

Источник: Порт 554 (RTSP) — что это и безопасность [2026]

Зачем закрывать порт 445?

Каждый открытый порт — потенциальная точка входа. Если сервис не используется — закройте.

Источник: Порт 445 (SMB) — что это и безопасность [2026]

Зачем закрывать порт 27017?

Каждый открытый порт — потенциальная точка входа. Если сервис не используется — закройте.

Источник: Порт 27017 (MongoDB) — что это и безопасность [2026]

Зачем закрывать порт 1433?

Каждый открытый порт — потенциальная точка входа. Если сервис не используется — закройте.

Источник: Порт 1433 (MSSQL) — что это и безопасность [2026]

Зачем закрывать порт 636?

Каждый открытый порт — потенциальная точка входа. Если сервис не используется — закройте.

Источник: Порт 636 (LDAPS) — что это и безопасность [2026]

Зачем закрывать порт 1194?

Каждый открытый порт — потенциальная точка входа. Если сервис не используется — закройте.

Источник: Порт 1194 (OpenVPN) — что это и безопасность [2026]

Почему именно 8554?

Часто — как user-space alternative к привилегированному 554. Standalone серверы без root запускаются на 8554 / 8888 / 10554.

Источник: Порт 8554 — RTSP (альтернатива 554)

RTSP security?

Digest auth + IP whitelist. Real security — TLS tunnel (stunnel / nginx-rtmp-module) или WebRTC + SRTP.

Источник: Порт 8554 — RTSP (альтернатива 554)

Заменить RTSP?

Для browser — WebRTC или HLS. IP-камеры и professional video — RTSP ещё 5+ лет.

Источник: Порт 8554 — RTSP (альтернатива 554)

MQTT vs HTTP для IoT?

MQTT: persistent connection, pub/sub, малый header (~2 байта). HTTP: simpler, RESTful, каждый запрос = handshake. IoT с низким трафиком и battery — MQTT.

Источник: Порт 8883 — MQTT over TLS

MQTT 5 vs 3.1.1?

5.0 добавляет enhanced auth, user properties, session expiry. Adoption: AWS IoT Core 2024, Mosquitto 2, HiveMQ 4+.

Источник: Порт 8883 — MQTT over TLS

Нужен client cert?

Для production — yes, mutual TLS. Plain username/password ломается при device-management на 10k+ устройств.

Источник: Порт 8883 — MQTT over TLS

Зачем знать?

Если есть промышленная автоматика (завод, energy, water) — ключевой ICS-порт. Утечка = физические последствия (stopper pipeline).

Источник: Порт 502 — Modbus TCP

Можно ли в интернет?

Никогда в plain-text. Либо VPN, либо Modbus Secure (802) с TLS.

Источник: Порт 502 — Modbus TCP

Альтернатива?

OPC UA (4840) — современный, с security, structured data. В новых проектах выбирают его.

Источник: Порт 502 — Modbus TCP

BACnet vs Modbus в здании?

BACnet — для HVAC + lighting + access-control. Modbus — для generic PLC. Часто BACnet сверху + Modbus на field level.

Источник: Порт 47808 — BACnet/IP

Exposed 47808?

На публичный internet — никогда. Даже в internal — segment VLAN, block по ACL.

Источник: Порт 47808 — BACnet/IP

BACnet/SC готов?

ANSI/ASHRAE 135-2020 addendum, vendor support — Carrier, Siemens в process. Для новых проектов рассмотрите.

Источник: Порт 47808 — BACnet/IP

Нужно ли открывать на роутере в 2026?

Только если кто-то в семье играет в Mario Kart Wii через Wiimmfi или аналог. Для Switch / Nintendo Online — другие порты.

Источник: Порт 28910 — Nintendo Wi-Fi Connection

Security?

Plaintext. Не передавайте credentials. Для online-games рассматривайте Cloudflare Tunnel / ZeroTier.

Источник: Порт 28910 — Nintendo Wi-Fi Connection

Какие игры используют?

Mario Kart DS/Wii, Animal Crossing Wild World, Pokémon D/P/Pt — все с разрешённым Nintendo WFC shutdown списком.

Источник: Порт 28910 — Nintendo Wi-Fi Connection

Открыт ли порт 27015 по умолчанию?

Нет, современные cloud-провайдеры закрывают все входящие порты по default. Явно разрешите 27015 в Security Group или firewall.

Источник: Порт 27015 (UDP/TCP) — Steam Game Servers

Как проверить, открыт ли порт 27015?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 27015.

Источник: Порт 27015 (UDP/TCP) — Steam Game Servers

Безопасно ли открывать порт 27015?

Зависит от сервиса. Steam Game Servers должен быть hardened (auth + TLS + rate limit) перед публичным доступом. См. наше исследование exposure 2026.

Источник: Порт 27015 (UDP/TCP) — Steam Game Servers

Открыт ли порт 19132 по умолчанию?

Нет, современные cloud-провайдеры закрывают все входящие порты по default. Явно разрешите 19132 в Security Group или firewall.

Источник: Порт 19132 (UDP) — Minecraft Bedrock Edition server

Как проверить, открыт ли порт 19132?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 19132.

Источник: Порт 19132 (UDP) — Minecraft Bedrock Edition server

Безопасно ли открывать порт 19132?

Зависит от сервиса. Minecraft Bedrock Edition server должен быть hardened (auth + TLS + rate limit) перед публичным доступом. См. наше исследование exposure 2026.

Источник: Порт 19132 (UDP) — Minecraft Bedrock Edition server

Открыт ли порт 1935 по умолчанию?

Нет, современные cloud-провайдеры закрывают все входящие порты по default. Явно разрешите 1935 в Security Group или firewall.

Источник: Порт 1935 (TCP) — RTMP (Flash/OBS streaming)

Как проверить, открыт ли порт 1935?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 1935.

Источник: Порт 1935 (TCP) — RTMP (Flash/OBS streaming)

Безопасно ли открывать порт 1935?

Зависит от сервиса. RTMP (Flash/OBS streaming) должен быть hardened (auth + TLS + rate limit) перед публичным доступом. См. наше исследование exposure 2026.

Источник: Порт 1935 (TCP) — RTMP (Flash/OBS streaming)

Открыт ли порт 7777 по умолчанию?

Нет, современные cloud-провайдеры закрывают все входящие порты по default. Явно разрешите 7777 в Security Group или firewall.

Источник: Порт 7777 (TCP/UDP) — Unreal Tournament / Terraria / Ark: Survival

Как проверить, открыт ли порт 7777?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 7777.

Источник: Порт 7777 (TCP/UDP) — Unreal Tournament / Terraria / Ark: Survival

Безопасно ли открывать порт 7777?

Зависит от сервиса. Unreal Tournament / Terraria / Ark: Survival должен быть hardened (auth + TLS + rate limit) перед публичным доступом. См. наше исследование exposure 2026.

Источник: Порт 7777 (TCP/UDP) — Unreal Tournament / Terraria / Ark: Survival

Открыт ли порт 10000 по умолчанию?

Нет, современные cloud-провайдеры закрывают все входящие порты по default. Явно разрешите 10000 в Security Group или firewall.

Источник: Порт 10000 (TCP) — Webmin / VPN admin

Как проверить, открыт ли порт 10000?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 10000.

Источник: Порт 10000 (TCP) — Webmin / VPN admin

Безопасно ли открывать порт 10000?

Зависит от сервиса. Webmin / VPN admin должен быть hardened (auth + TLS + rate limit) перед публичным доступом. См. наше исследование exposure 2026.

Источник: Порт 10000 (TCP) — Webmin / VPN admin

Открыт ли порт 161 по умолчанию?

Нет, современные cloud-провайдеры закрывают все входящие порты по default. Явно разрешите 161 в Security Group или firewall.

Источник: Порт 161 (UDP) — SNMP (Network Monitoring)

Как проверить, открыт ли порт 161?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 161.

Источник: Порт 161 (UDP) — SNMP (Network Monitoring)

Безопасно ли открывать порт 161?

Зависит от сервиса. SNMP (Network Monitoring) должен быть hardened (auth + TLS + rate limit) перед публичным доступом. См. наше исследование exposure 2026.

Источник: Порт 161 (UDP) — SNMP (Network Monitoring)

Открыт ли порт 2049 по умолчанию?

Нет, современные cloud-провайдеры закрывают все входящие порты по default. Явно разрешите 2049 в Security Group или firewall.

Источник: Порт 2049 (TCP/UDP) — NFS (Network File System)

Как проверить, открыт ли порт 2049?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 2049.

Источник: Порт 2049 (TCP/UDP) — NFS (Network File System)

Безопасно ли открывать порт 2049?

Зависит от сервиса. NFS (Network File System) должен быть hardened (auth + TLS + rate limit) перед публичным доступом. См. наше исследование exposure 2026.

Источник: Порт 2049 (TCP/UDP) — NFS (Network File System)

Открыт ли порт 25565 по умолчанию?

Нет, современные cloud-провайдеры закрывают все входящие порты по default. Явно разрешите 25565 в Security Group или firewall.

Источник: Порт 25565 (TCP) — Minecraft Java Edition server

Как проверить, открыт ли порт 25565?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 25565.

Источник: Порт 25565 (TCP) — Minecraft Java Edition server

Безопасно ли открывать порт 25565?

Зависит от сервиса. Minecraft Java Edition server должен быть hardened (auth + TLS + rate limit) перед публичным доступом. См. наше исследование exposure 2026.

Источник: Порт 25565 (TCP) — Minecraft Java Edition server

Открыт ли порт 5222 по умолчанию?

Нет, современные cloud-провайдеры закрывают все входящие порты по default. Явно разрешите 5222 в Security Group или firewall.

Источник: Порт 5222 (TCP) — XMPP Jabber (clients)

Как проверить, открыт ли порт 5222?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 5222.

Источник: Порт 5222 (TCP) — XMPP Jabber (clients)

Безопасно ли открывать порт 5222?

Зависит от сервиса. XMPP Jabber (clients) должен быть hardened (auth + TLS + rate limit) перед публичным доступом. См. наше исследование exposure 2026.

Источник: Порт 5222 (TCP) — XMPP Jabber (clients)

Открыт ли порт 5900 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 5900 в Security Group или firewall.

Источник: Порт 5900 (TCP) — VNC Remote Desktop

Как проверить, открыт ли порт 5900?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 5900.

Источник: Порт 5900 (TCP) — VNC Remote Desktop

Безопасно ли открывать порт 5900?

Зависит от сервиса. VNC Remote Desktop никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 5900 (TCP) — VNC Remote Desktop

Открыт ли порт 4222 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 4222 в Security Group или firewall.

Источник: Порт 4222 (TCP) — NATS Messaging

Как проверить, открыт ли порт 4222?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 4222.

Источник: Порт 4222 (TCP) — NATS Messaging

Безопасно ли открывать порт 4222?

Зависит от сервиса. NATS Messaging никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 4222 (TCP) — NATS Messaging

Открыт ли порт 2375 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 2375 в Security Group или firewall.

Источник: Порт 2375 (TCP) — Docker daemon (unsecured)

Как проверить, открыт ли порт 2375?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 2375.

Источник: Порт 2375 (TCP) — Docker daemon (unsecured)

Безопасно ли открывать порт 2375?

Зависит от сервиса. Docker daemon (unsecured) никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 2375 (TCP) — Docker daemon (unsecured)

Открыт ли порт 6000 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 6000 в Security Group или firewall.

Источник: Порт 6000 (TCP) — X Window System

Как проверить, открыт ли порт 6000?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 6000.

Источник: Порт 6000 (TCP) — X Window System

Безопасно ли открывать порт 6000?

Зависит от сервиса. X Window System никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 6000 (TCP) — X Window System

Открыт ли порт 27018 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 27018 в Security Group или firewall.

Источник: Порт 27018 (TCP) — MongoDB sharded cluster

Как проверить, открыт ли порт 27018?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 27018.

Источник: Порт 27018 (TCP) — MongoDB sharded cluster

Безопасно ли открывать порт 27018?

Зависит от сервиса. MongoDB sharded cluster никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 27018 (TCP) — MongoDB sharded cluster

Открыт ли порт 50000 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 50000 в Security Group или firewall.

Источник: Порт 50000 (TCP) — SAP NetWeaver AS Java

Как проверить, открыт ли порт 50000?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 50000.

Источник: Порт 50000 (TCP) — SAP NetWeaver AS Java

Безопасно ли открывать порт 50000?

Зависит от сервиса. SAP NetWeaver AS Java никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 50000 (TCP) — SAP NetWeaver AS Java

Открыт ли порт 1080 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 1080 в Security Group или firewall.

Источник: Порт 1080 (TCP) — SOCKS proxy (v4/v5)

Как проверить, открыт ли порт 1080?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 1080.

Источник: Порт 1080 (TCP) — SOCKS proxy (v4/v5)

Безопасно ли открывать порт 1080?

Зависит от сервиса. SOCKS proxy (v4/v5) никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 1080 (TCP) — SOCKS proxy (v4/v5)

Открыт ли порт 11211 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 11211 в Security Group или firewall.

Источник: Порт 11211 (TCP/UDP) — Memcached

Как проверить, открыт ли порт 11211?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 11211.

Источник: Порт 11211 (TCP/UDP) — Memcached

Безопасно ли открывать порт 11211?

Зависит от сервиса. Memcached никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 11211 (TCP/UDP) — Memcached

Открыт ли порт 3128 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 3128 в Security Group или firewall.

Источник: Порт 3128 (TCP) — Squid HTTP proxy

Как проверить, открыт ли порт 3128?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 3128.

Источник: Порт 3128 (TCP) — Squid HTTP proxy

Безопасно ли открывать порт 3128?

Зависит от сервиса. Squid HTTP proxy никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 3128 (TCP) — Squid HTTP proxy

Открыт ли порт 2181 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 2181 в Security Group или firewall.

Источник: Порт 2181 (TCP) — Apache Zookeeper

Как проверить, открыт ли порт 2181?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 2181.

Источник: Порт 2181 (TCP) — Apache Zookeeper

Безопасно ли открывать порт 2181?

Зависит от сервиса. Apache Zookeeper никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 2181 (TCP) — Apache Zookeeper

Открыт ли порт 7000 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 7000 в Security Group или firewall.

Источник: Порт 7000 (TCP) — Cassandra inter-node

Как проверить, открыт ли порт 7000?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 7000.

Источник: Порт 7000 (TCP) — Cassandra inter-node

Безопасно ли открывать порт 7000?

Зависит от сервиса. Cassandra inter-node никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 7000 (TCP) — Cassandra inter-node

Открыт ли порт 9100 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 9100 в Security Group или firewall.

Источник: Порт 9100 (TCP) — Prometheus node_exporter

Как проверить, открыт ли порт 9100?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 9100.

Источник: Порт 9100 (TCP) — Prometheus node_exporter

Безопасно ли открывать порт 9100?

Зависит от сервиса. Prometheus node_exporter никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 9100 (TCP) — Prometheus node_exporter

Открыт ли порт 10250 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 10250 в Security Group или firewall.

Источник: Порт 10250 (TCP) — Kubernetes kubelet API

Как проверить, открыт ли порт 10250?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 10250.

Источник: Порт 10250 (TCP) — Kubernetes kubelet API

Безопасно ли открывать порт 10250?

Зависит от сервиса. Kubernetes kubelet API никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 10250 (TCP) — Kubernetes kubelet API

Открыт ли порт 5000 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 5000 в Security Group или firewall.

Источник: Порт 5000 (TCP) — Docker Registry / Flask dev

Как проверить, открыт ли порт 5000?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 5000.

Источник: Порт 5000 (TCP) — Docker Registry / Flask dev

Безопасно ли открывать порт 5000?

Зависит от сервиса. Docker Registry / Flask dev никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 5000 (TCP) — Docker Registry / Flask dev

Открыт ли порт 6380 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 6380 в Security Group или firewall.

Источник: Порт 6380 (TCP) — Redis over TLS

Как проверить, открыт ли порт 6380?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 6380.

Источник: Порт 6380 (TCP) — Redis over TLS

Безопасно ли открывать порт 6380?

Зависит от сервиса. Redis over TLS никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 6380 (TCP) — Redis over TLS

Открыт ли порт 4369 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 4369 в Security Group или firewall.

Источник: Порт 4369 (TCP) — Erlang Port Mapper Daemon

Как проверить, открыт ли порт 4369?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 4369.

Источник: Порт 4369 (TCP) — Erlang Port Mapper Daemon

Безопасно ли открывать порт 4369?

Зависит от сервиса. Erlang Port Mapper Daemon никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 4369 (TCP) — Erlang Port Mapper Daemon

Открыт ли порт 8000 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 8000 в Security Group или firewall.

Источник: Порт 8000 (TCP) — Django runserver / MinIO

Как проверить, открыт ли порт 8000?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 8000.

Источник: Порт 8000 (TCP) — Django runserver / MinIO

Безопасно ли открывать порт 8000?

Зависит от сервиса. Django runserver / MinIO никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 8000 (TCP) — Django runserver / MinIO

Открыт ли порт 9090 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 9090 в Security Group или firewall.

Источник: Порт 9090 (TCP) — Prometheus UI + API

Как проверить, открыт ли порт 9090?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 9090.

Источник: Порт 9090 (TCP) — Prometheus UI + API

Безопасно ли открывать порт 9090?

Зависит от сервиса. Prometheus UI + API никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 9090 (TCP) — Prometheus UI + API

Открыт ли порт 8081 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 8081 в Security Group или firewall.

Источник: Порт 8081 (TCP) — Package repos (Nexus/Artifactory)

Как проверить, открыт ли порт 8081?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 8081.

Источник: Порт 8081 (TCP) — Package repos (Nexus/Artifactory)

Безопасно ли открывать порт 8081?

Зависит от сервиса. Package repos (Nexus/Artifactory) никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 8081 (TCP) — Package repos (Nexus/Artifactory)

Открыт ли порт 1883 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 1883 в Security Group или firewall.

Источник: Порт 1883 (TCP) — IoT-брокер MQTT (plain)

Как проверить, открыт ли порт 1883?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 1883 или telnet example.com 1883.

Источник: Порт 1883 (TCP) — IoT-брокер MQTT (plain)

Безопасно ли открывать порт 1883?

Зависит от сервиса. IoT-брокер MQTT (plain) никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 1883 (TCP) — IoT-брокер MQTT (plain)

Открыт ли порт 9092 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 9092 в Security Group или firewall.

Источник: Порт 9092 (TCP) — Apache Kafka broker

Как проверить, открыт ли порт 9092?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 9092 или telnet example.com 9092.

Источник: Порт 9092 (TCP) — Apache Kafka broker

Безопасно ли открывать порт 9092?

Зависит от сервиса. Apache Kafka broker никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 9092 (TCP) — Apache Kafka broker

Открыт ли порт 5672 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 5672 в Security Group или firewall.

Источник: Порт 5672 (TCP) — RabbitMQ AMQP protocol

Как проверить, открыт ли порт 5672?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 5672 или telnet example.com 5672.

Источник: Порт 5672 (TCP) — RabbitMQ AMQP protocol

Безопасно ли открывать порт 5672?

Зависит от сервиса. RabbitMQ AMQP protocol никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 5672 (TCP) — RabbitMQ AMQP protocol

Открыт ли порт 15672 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 15672 в Security Group или firewall.

Источник: Порт 15672 (TCP) — RabbitMQ Management UI

Как проверить, открыт ли порт 15672?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 15672 или telnet example.com 15672.

Источник: Порт 15672 (TCP) — RabbitMQ Management UI

Безопасно ли открывать порт 15672?

Зависит от сервиса. RabbitMQ Management UI никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 15672 (TCP) — RabbitMQ Management UI

Открыт ли порт 5601 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 5601 в Security Group или firewall.

Источник: Порт 5601 (TCP) — Kibana UI (Elastic Stack)

Как проверить, открыт ли порт 5601?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 5601 или telnet example.com 5601.

Источник: Порт 5601 (TCP) — Kibana UI (Elastic Stack)

Безопасно ли открывать порт 5601?

Зависит от сервиса. Kibana UI (Elastic Stack) никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 5601 (TCP) — Kibana UI (Elastic Stack)

Открыт ли порт 9000 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 9000 в Security Group или firewall.

Источник: Порт 9000 (TCP) — Portainer Docker UI / SonarQube

Как проверить, открыт ли порт 9000?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 9000 или telnet example.com 9000.

Источник: Порт 9000 (TCP) — Portainer Docker UI / SonarQube

Безопасно ли открывать порт 9000?

Зависит от сервиса. Portainer Docker UI / SonarQube никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 9000 (TCP) — Portainer Docker UI / SonarQube

Открыт ли порт 9300 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 9300 в Security Group или firewall.

Источник: Порт 9300 (TCP) — Elasticsearch inter-node

Как проверить, открыт ли порт 9300?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 9300 или telnet example.com 9300.

Источник: Порт 9300 (TCP) — Elasticsearch inter-node

Безопасно ли открывать порт 9300?

Зависит от сервиса. Elasticsearch inter-node никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 9300 (TCP) — Elasticsearch inter-node

Открыт ли порт 8086 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 8086 в Security Group или firewall.

Источник: Порт 8086 (TCP) — InfluxDB time-series database

Как проверить, открыт ли порт 8086?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 8086 или telnet example.com 8086.

Источник: Порт 8086 (TCP) — InfluxDB time-series database

Безопасно ли открывать порт 8086?

Зависит от сервиса. InfluxDB time-series database никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 8086 (TCP) — InfluxDB time-series database

Открыт ли порт 3000 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 3000 в Security Group или firewall.

Источник: Порт 3000 (TCP) — Grafana UI / Node.js dev

Как проверить, открыт ли порт 3000?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 3000 или telnet example.com 3000.

Источник: Порт 3000 (TCP) — Grafana UI / Node.js dev

Безопасно ли открывать порт 3000?

Зависит от сервиса. Grafana UI / Node.js dev никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 3000 (TCP) — Grafana UI / Node.js dev

Открыт ли порт 3478 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 3478 в Security Group или firewall.

Источник: Порт 3478 (UDP) — STUN/TURN сервер (WebRTC)

Как проверить, открыт ли порт 3478?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 3478 или telnet example.com 3478.

Источник: Порт 3478 (UDP) — STUN/TURN сервер (WebRTC)

Безопасно ли открывать порт 3478?

Зависит от сервиса. STUN/TURN сервер (WebRTC) никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 3478 (UDP) — STUN/TURN сервер (WebRTC)

Открыт ли порт 5984 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 5984 в Security Group или firewall.

Источник: Порт 5984 (TCP) — Apache CouchDB

Как проверить, открыт ли порт 5984?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 5984 или telnet example.com 5984.

Источник: Порт 5984 (TCP) — Apache CouchDB

Безопасно ли открывать порт 5984?

Зависит от сервиса. Apache CouchDB никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 5984 (TCP) — Apache CouchDB

Открыт ли порт 1521 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 1521 в Security Group или firewall.

Источник: Порт 1521 (TCP) — Oracle Database listener

Как проверить, открыт ли порт 1521?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 1521 или telnet example.com 1521.

Источник: Порт 1521 (TCP) — Oracle Database listener

Безопасно ли открывать порт 1521?

Зависит от сервиса. Oracle Database listener никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 1521 (TCP) — Oracle Database listener

Открыт ли порт 2379 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 2379 в Security Group или firewall.

Источник: Порт 2379 (TCP) — etcd distributed KV store

Как проверить, открыт ли порт 2379?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 2379 или telnet example.com 2379.

Источник: Порт 2379 (TCP) — etcd distributed KV store

Безопасно ли открывать порт 2379?

Зависит от сервиса. etcd distributed KV store никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 2379 (TCP) — etcd distributed KV store

Открыт ли порт 6443 по умолчанию?

Нет, современные cloud-провайдеры (AWS, Google Cloud, Yandex) закрывают все входящие порты по default. Нужно явно разрешить порт 6443 в Security Group или firewall.

Источник: Порт 6443 (TCP) — Kubernetes API server

Как проверить, открыт ли порт 6443?

Используйте Ping + Port Checker Enterno.io. Или в shell: nc -vz example.com 6443 или telnet example.com 6443.

Источник: Порт 6443 (TCP) — Kubernetes API server

Безопасно ли открывать порт 6443?

Зависит от сервиса. Kubernetes API server никогда не должен открываться публично без аутентификации + TLS. См. наше исследование exposure 2026.

Источник: Порт 6443 (TCP) — Kubernetes API server

Зачем закрывать порт 21?