Без TLS (HTTP):

Клієнт                    Маршрутизатор ISP           Сервер
  |                              |                       |
  |---[GET /login HTTP/1.1  ]--->|                       |
  |---[Authorization: Basic ]--->|                       |
  |---[ dXNlcjpwYXNzd29yZA= ]--->|---------------------> |
  |                              |                       |
  |                         Видно всім!
  |                    user:password (base64)

З TLS (HTTPS):

Клієнт                    Маршрутизатор ISP           Сервер
  |                              |                       |
  |---[TLS Record: ÿ§2Ø...  ]--->|                       |
  |---[TLS Record: ×9∆Ψ...  ]--->|---------------------> |
  |                              |                       |
  |                      Виглядає як сміття.
  |                  Ключ є лише у клієнта і сервера.

Симетричне шифрування:

  Відкритий текст          Зашифрований текст
  "Hello, World!"  ──[KEY]──►  "Ω∆≤≥¥§ÿ..."
                                   │
                               [той самий KEY]
                                   │
  "Hello, World!"  ◄──────────────┘

AES-ECB (небезпечний — зберігає структуру):

Блок 1: "АЛІСА ВІДПРАВЛЯ"  ──► [AES-ECB] ──► "Ω∆≤3K7#..."
Блок 2: "Є БОБУ 100 ДОЛАРІ"──► [AES-ECB] ──► "ΨΠ∑9L2@..."
Блок 3: "АЛІСА ВІДПРАВЛЯ"  ──► [AES-ECB] ──► "Ω∆≤3K7#..."  ← Однаковий! Витік інформації.

Асиметричне шифрування (для обміну даними):

      Аліса                              Боб
  [публічний ключ Боба]            [приватний ключ Боба]
  [приватний ключ Аліси]           [публічний ключ Аліси]
         │                                  │
         │   "Привіт, Боб!"                 │
         │ ──[encrypt(Боб.pub)]──►          │
         │   "ΩΨ∆≤K7#@..."                  │
         │                   ──[decrypt(Боб.priv)]──►
         │                                  │
         │                          "Привіт, Боб!"

Цифровий підпис (для автентифікації):

      Аліса                              Боб
  [приватний ключ Аліси]           [публічний ключ Аліси]
         │                                  │
         │   Документ D                     │
         │   sign(hash(D), Аліса.priv)      │
         │ ──[Документ D + Підпис S]──►     │
         │                                  │
         │              verify(hash(D), S, Аліса.pub) == true?
         │                           ↑
         │              Якщо так — Аліса точно підписала,
         │              і документ не змінювався.

RSA — математична основа (спрощено):

1. Беремо два великих простих числа: p = 61, q = 53
2. n = p × q = 3233  (модуль, частина публічного ключа)
3. φ(n) = (p-1)(q-1) = 3120  (функція Ейлера)
4. Обираємо e таке, що gcd(e, φ(n)) = 1:  e = 17
5. Знаходимо d таке, що (d × e) mod φ(n) = 1:  d = 2753

Публічний ключ:  (e=17, n=3233)  ← можна поширювати
Приватний ключ:  (d=2753, n=3233) ← тримати в таємниці

Шифрування:  C = M^e mod n  →  42^17 mod 3233 = 2557
Дешифрування: M = C^d mod n  →  2557^2753 mod 3233 = 42  ✓

На практиці: n має бути 2048+ біт (≈617 десяткових цифр).
Факторизація 2048-бітного числа неможлива за розумний час
навіть для найпотужніших суперкомп'ютерів.

Порівняння розмірів ключів для еквівалентного рівня безпеки:

Рівень безпеки │ RSA/DH      │ ECC
─────────────────────────────────────
80 біт         │ 1024 біт    │ 160 біт
112 біт        │ 2048 біт    │ 224 біт
128 біт        │ 3072 біт    │ 256 біт  ← P-256, найпоширеніший
192 біт        │ 7680 біт    │ 384 біт
256 біт        │ 15360 біт   │ 521 біт

Аналогія з фарбами (Діффі–Гелман):

1. Аліса і Боб публічно домовляються про
   спільну "базову" фарбу: ЖОВТА.
   Вороги це бачать — і це нормально.

2. Аліса додає свою таємну фарбу (СИНЯ) →
   отримує ЗЕЛЕНУ, яку надсилає Бобу.

3. Боб додає свою таємну фарбу (ЧЕРВОНА) →
   отримує ПОМАРАНЧЕВУ, яку надсилає Алісі.

4. Аліса отримує ПОМАРАНЧЕВУ Боба, додає
   свою СИНЮ → КОРИЧНЕВА (спільний секрет!)

5. Боб отримує ЗЕЛЕНУ Аліси, додає
   свою ЧЕРВОНУ → КОРИЧНЕВА (той самий секрет!)

Ворог бачить: ЖОВТУ, ЗЕЛЕНУ, ПОМАРАНЧЕВУ.
Відновити КОРИЧНЕВУ без знання таємних фарб —
обчислювально неможливо (задача дискретного логарифму).

ECDH на кривій P-256:

1. Публічно: крива P-256, точка G (генератор)
2. Аліса: обирає секрет a, обчислює A = a·G (точка на кривій)
3. Боб:   обирає секрет b, обчислює B = b·G (точка на кривій)
4. Аліса → Боб: A;   Боб → Аліса: B
5. Аліса: S = a·B = a·b·G
6. Боб:   S = b·A = b·a·G  → той самий S ✓

Ворог знає G, A, B, але не може обчислити a або b
(задача дискретного логарифму на еліптичних кривих).

Властивості криптографічних хеш-функцій:

1. Детермінованість:
   SHA256("Hello") = "185f8db3..."  ← завжди однаково

2. Лавинний ефект:
   SHA256("Hello") = "185f8db3..."
   SHA256("Hello!") = "334d0162..."  ← кардинально інший!

3. Незворотність (Pre-image resistance):
   "185f8db3..." → ? → неможливо відновити "Hello"
   (обчислювально неможливо, не теоретично)

4. Стійкість до колізій (Collision resistance):
   Неможливо знайти два різних входи з однаковим хешем.
   SHA256(X) = SHA256(Y), де X ≠ Y → практично неможливо

5. Ефективність:
   Обчислення хешу — дуже швидка операція.

HMAC-SHA256(key, message):

ipad = 0x36 repeated 64 times
opad = 0x5C repeated 64 times

HMAC = SHA256( (key XOR opad) || SHA256( (key XOR ipad) || message ) )

Властивості:
- Без знання key неможливо обчислити правильний HMAC
- Зміна будь-якого байту message дасть інший HMAC
- Використовується для перевірки цілісності TLS записів

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
│    │     │        │    │   │    │
│    │     │        │    │   │    └── Хеш-функція (для PRF/HMAC)
│    │     │        │    │   └─────── Режим шифрування
│    │     │        │    └─────────── Розмір ключа (біт)
│    │     │        └──────────────── Симетричний алгоритм
│    │     └───────────────────────── Алгоритм автентифікації
│    └─────────────────────────────── Алгоритм обміну ключами
└──────────────────────────────────── Протокол

Атака підміни ключа (MitM на відкритому ключі):

Аліса               Зловмисник Єва               Боб
   |                      |                        |
   | "Дай мені твій       |                        |
   |  відкритий ключ" ──► |                        |
   |                      | ──► Боб.pub_key ──────►|
   |                      | ◄── Боб.pub_key ────── |
   |                      |                        |
   |    [Єва.pub_key] ◄── |  (підміна!)            |
   |                      |                        |
   | Шифрує своїм ключем  |                        |
   | Єви, думаючи що це   |                        |
   | ключ Боба ──────────►|                        |
   |              Єва розшифровує,                 |
   |              читає, перешифровує              |
   |              ключем Боба і передає ►          |

Сертифікат X.509v3 (спрощено):

┌─────────────────────────────────────────────┐
│  TBSCertificate (To Be Signed Certificate)  │
│  ┌──────────────────────────────────────┐   │
│  │ Version: 3                           │   │
│  │ Serial Number: 0x0F:A3:2B:...        │   │
│  │ Signature Algorithm: sha256WithRSA   │   │
│  │                                      │   │
│  │ Issuer (Видавець):                   │   │
│  │   C=US, O=DigiCert Inc,              │   │
│  │   CN=DigiCert TLS RSA SHA256 2020 CA1│   │
│  │                                      │   │
│  │ Validity:                            │   │
│  │   Not Before: 2024-01-15 00:00:00    │   │
│  │   Not After:  2025-02-14 23:59:59    │   │
│  │                                      │   │
│  │ Subject (Власник):                   │   │
│  │   C=US, ST=California, L=Menlo Park  │   │
│  │   O=Example Corp, CN=www.example.com │   │
│  │                                      │   │
│  │ Subject Public Key Info:             │   │
│  │   Algorithm: rsaEncryption           │   │
│  │   Public Key: (2048 bit)             │   │
│  │   30 82 01 0a 02 82 01 01 00 ...     │   │
│  │                                      │   │
│  │ Extensions (v3):                     │   │
│  │   Subject Alt Names: DNS:example.com │   │
│  │                       DNS:*.example.com│  │
│  │   Key Usage: Digital Signature,      │   │
│  │              Key Encipherment        │   │
│  │   Extended Key Usage: serverAuth     │   │
│  │   Basic Constraints: CA:false        │   │
│  │   CRL Distribution Points: http://.. │   │
│  │   OCSP: http://ocsp.digicert.com     │   │
│  └──────────────────────────────────────┘   │
│                                             │
│  Signature Algorithm: sha256WithRSAEncryption│
│  Signature Value:                           │
│    (цифровий підпис CA, ~256 байт RSA)      │
│    3d 4a f2 b1 ... 9e 0c 7f               │
└─────────────────────────────────────────────┘

# Отримати та розібрати сертифікат github.com
echo | openssl s_client -connect github.com:443 2>/dev/null | openssl x509 -text -noout

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            17:67:44:75:96:48:b3:8e:6b:de:a9:92:42:10:d7:bb
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: C=US, O=DigiCert, Inc., CN=DigiCert TLS Hybrid ECC SHA384 2020 CA1
        Validity
            Not Before: Feb 15 00:00:00 2024 GMT
            Not After : Mar 15 23:59:59 2025 GMT
        Subject: C=US, ST=California, L=San Francisco,
                 O=GitHub, Inc., CN=github.com
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub: 04:fa:2d:...
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:github.com, DNS:www.github.com
            X509v3 Key Usage: critical
                Digital Signature
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            Authority Information Access:
                OCSP - URI:http://ocsp.digicert.com
                CA Issuers - URI:http://cacerts.digicert.com/...

Повний шлях перевірки (chain validation):

Браузер                    Мережа                    Сервер
   │                          │                         │
   │◄─────────────────────────┤ Certificate (leaf)      │
   │◄─────────────────────────┤ + Intermediate CA       │
   │                          │                         │
   │ [1] Знайти Root CA у сховищі ОС                   │
   │     Root CA = DigiCert Global Root CA              │
   │                                                    │
   │ [2] verify(Intermediate.signature, Root.pubkey)    │
   │     → OK ✓                                         │
   │                                                    │
   │ [3] verify(Leaf.signature, Intermediate.pubkey)    │
   │     → OK ✓                                         │
   │                                                    │
   │ [4] Leaf.NotBefore ≤ now ≤ Leaf.NotAfter           │
   │     → OK ✓                                         │
   │                                                    │
   │ [5] OCSP запит: чи відкликано Leaf?                │
   │ ────────────────────────────────────────────────►  │
   │ ◄────────────────────────────────── status: good ✓ │
   │                                                    │
   │ [6] "github.com" ∈ Leaf.SAN?                       │
   │     DNS:github.com ✓                               │
   │                                                    │
   │ TLS Handshake продовжується. З'єднання довірене.  │

Certificate Transparency workflow:

CA                    CT Log (Merkle Tree)              Браузер
 │                          │                               │
 │ Надсилає pre-certificate │                               │
 │─────────────────────────►│                               │
 │                          │ Додає до append-only журналу  │
 │◄─────────────────────────│ Повертає SCT (signed timestamp│
 │  SCT (Signed             │ + підпис Log) ─────────────►  │
 │  Certificate Timestamp)  │                               │
 │                          │                               │
 │ Вбудовує SCT у сертифікат│                               │
 │                          │                               │
 │──────────────────────────────────────────────────────►   │
 │             Сертифікат із SCT                             │
 │                          │                               │
 │                          │ Браузер перевіряє SCT        │
 │                          │ Немає SCT → ❌ не довіряти   │

// Certificate pinning у HttpClient (.NET)
var handler = new HttpClientHandler();
handler.ServerCertificateCustomValidationCallback =
    (message, cert, chain, errors) =>
    {
        // SHA-256 fingerprint очікуваного сертифіката
        const string expectedPin =
            "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=";

        // Обчислити fingerprint отриманого сертифіката
        var actualPin = Convert.ToBase64String(
            SHA256.HashData(cert!.RawData));
        var actual = $"sha256/{actualPin}";

        return actual == expectedPin;
    };

Задачі TLS Handshake:

1. УЗГОДЖЕННЯ ВЕРСІЇ ТА АЛГОРИТМІВ
   Клієнт і сервер домовляються:
   - Яку версію TLS використовувати (1.2 чи 1.3)?
   - Який Cipher Suite? (AES-256-GCM? ChaCha20?)
   - Які параметри обміну ключами?

2. АВТЕНТИФІКАЦІЯ СЕРВЕРА
   Сервер доводить свою ідентичність:
   - Надсилає сертифікат X.509
   - Клієнт перевіряє ланцюжок довіри (PKI)
   - Клієнт перевіряє, що CN/SAN збігається з доменом

3. ОБМІН КЛЮЧАМИ
   Клієнт і сервер встановлюють спільний секрет
   (Pre-Master Secret → Master Secret → Session Keys)
   через асиметричну криптографію або DH,
   жодного разу не передаючи секрет у відкритому вигляді.

4. ПІДТВЕРДЖЕННЯ
   Обидві сторони доводять, що вони мають
   однаковий сесійний ключ (Finished message).
   Від цього моменту всі дані шифруються.

ClientHello (розбір у hex + пояснення):

Record Header:
  16          → Content Type: Handshake (0x16)
  03 01       → Legacy Record Version: TLS 1.0 (для сумісності!)
  00 f1       → Record Length: 241 байт

Handshake Header:
  01          → Handshake Type: ClientHello (1)
  00 00 ed    → Length: 237 байт

ClientHello тіло:
  03 03       → Client Version: TLS 1.2
  [28 bytes]  → ClientRandom:
                  4a 3f 2b 8c d1 e5 ... (timestamp + random)

  00          → Session ID Length: 0 (нова сесія)

  00 2a       → Cipher Suites Length: 42 (21 suite × 2 байти)
  13 01       →   TLS_AES_128_GCM_SHA256          (TLS 1.3)
  13 02       →   TLS_AES_256_GCM_SHA384          (TLS 1.3)
  13 03       →   TLS_CHACHA20_POLY1305_SHA256     (TLS 1.3)
  c0 2b       →   TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  c0 2f       →   TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  c0 2c       →   TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  ... (ще 15 наборів)
  00 ff       →   TLS_EMPTY_RENEGOTIATION_INFO_SCSV (захист)

  01          → Compression Methods Length: 1
  00          →   null (стиснення заборонено з TLS 1.3)

  Extensions:
  00 00       →   server_name (SNI): "github.com"
  00 0d       →   signature_algorithms: sha256+rsa, sha384+ecdsa...
  00 0a       →   supported_groups: x25519, P-256, P-384
  00 23       →   session_ticket: (порожній)
  00 10       →   application_layer_protocol_negotiation (ALPN):
                    h2, http/1.1

ServerHello:
  Version:      TLS 1.2
  ServerRandom: [28 bytes] ← 28 нових випадкових байт
  Session ID:   abc123...  ← для можливого resume
  Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ServerKeyExchange (для ECDHE):
  Curve:        named_curve: secp256r1 (P-256)
  ECPoint:      04 a3 f2 ... ← публічний ключ ECDH сервера (65 байт)
  Signature:    [RSA підпис приватним ключем сервера над:
                  ClientRandom + ServerRandom + ECPoint]

  Навіщо підпис?
  Без нього зловмисник міг би підмінити ECPoint власним ключем.
  Підпис прив'язує ECDH-ключ до сертифіката сервера.

Деривація ключів у TLS 1.2:

Pre-Master Secret (48 байт):
  = ECDH(client_ephemeral_priv, server_ephemeral_pub)
  = 3f a2 b1 ...  (48 байт)

Master Secret (48 байт):
  = PRF(pre_master_secret,
        label: "master secret",
        seed:  ClientRandom + ServerRandom)
  = 9e 4c 2d ...

Key Material (деривується з Master Secret):
  = PRF(master_secret,
        label: "key expansion",
        seed:  ServerRandom + ClientRandom)

Розбивається на:
  client_write_MAC_key  → HMAC-ключ для даних від клієнта
  server_write_MAC_key  → HMAC-ключ для даних від сервера
  client_write_key      → AES-ключ для шифрування від клієнта
  server_write_key      → AES-ключ для шифрування від сервера
  client_write_IV       → IV для AES-GCM від клієнта
  server_write_IV       → IV для AES-GCM від сервера

client Finished:
  verify_data = PRF(master_secret,
                    "client finished",
                    SHA256(всі HS повідомлення від ClientHello))

server Finished:
  verify_data = PRF(master_secret,
                    "server finished",
                    SHA256(всі HS повідомлення від ClientHello))

TLS 1.2: 2-RTT до початку даних
  TCP SYN ─►
           ◄─ TCP SYN-ACK
  TCP ACK ─►
  ClientHello ─►                              (RTT 1 початок)
               ◄─ ServerHello
               ◄─ Certificate
               ◄─ ServerKeyExchange
               ◄─ ServerHelloDone            (RTT 1 кінець)
  ClientKeyExchange ─►
  ChangeCipherSpec ─►
  Finished ─►                                 (RTT 2 початок)
               ◄─ ChangeCipherSpec
               ◄─ Finished                   (RTT 2 кінець)
  HTTP GET ─►

TLS 1.3: 1-RTT до початку даних
  TCP SYN ─►
           ◄─ TCP SYN-ACK
  TCP ACK ─►
  ClientHello ─►                              (RTT 1 початок)
  (з KeyShare: ECDH публічний ключ вже тут!)
               ◄─ ServerHello + KeyShare
               ◄─ EncryptedExtensions       ← вже зашифровано!
               ◄─ Certificate               ← вже зашифровано!
               ◄─ CertificateVerify         ← вже зашифровано!
               ◄─ Finished                  ← вже зашифровано!
  Finished ─►                                (RTT 1 кінець)
  HTTP GET ─►  ← одразу після Finished!

Перше з'єднання (1-RTT):
  Звичайний TLS 1.3 Handshake.
  Наприкінці сервер надсилає:
    NewSessionTicket (зашифрований):
      ticket: [зашифрований PSK для сервера]
      ticket_lifetime: 7200 (2 години)

  Клієнт зберігає ticket та PSK.

Повторне з'єднання (0-RTT):

  ClientHello ─►
  + early_data_indication extension
  + PSK identity (посилання на ticket)
  HTTP GET / ─►  ← 0-RTT Early Data!
                 ← сервер отримує запит до завершення HS!

               ◄─ ServerHello
               ◄─ EncryptedExtensions
               ◄─ Finished (прийнято 0-RTT)
  Finished ─►
               ◄─ HTTP 200 OK

Session Resumption через Session ID (TLS 1.2, 1-RTT):

ClientHello (Session ID: abc123) ─►
                                  ◄─ ServerHello (Session ID: abc123)
                                  ◄─ ChangeCipherSpec
                                  ◄─ Finished
ChangeCipherSpec ─►
Finished ─►
HTTP GET ─►

// mTLS клієнт у .NET
var cert = X509Certificate2.CreateFromPemFile("client.crt", "client.key");

var handler = new HttpClientHandler();
handler.ClientCertificates.Add(cert);
// При підключенні клієнт автоматично надає сертифікат,
// якщо сервер надіслав CertificateRequest

var client = new HttpClient(handler);
var response = await client.GetAsync("https://api.internal/data");

# Захопити TLS трафік до github.com (фільтр у Wireshark)
tls.handshake and ip.addr == 140.82.121.3

# Або через tshark (CLI Wireshark):
tshark -i en0 \
  -f "host github.com and port 443" \
  -Y "tls.handshake" \
  -V 2>/dev/null | grep -A3 "Handshake Protocol"

Frame 4: TLSv1.3 Record Layer: Handshake Protocol: Client Hello
    Content Type: Handshake (22)
    Version: TLS 1.0 (0x0301)  ← legacy compatibility!
    Handshake Protocol: Client Hello
        Version: TLS 1.2 (0x0303)
        Random: 4a3f2b8c...
        Extensions Length: 508
        Extension: server_name (len=16)
            Server Name: github.com
        Extension: supported_versions (len=7)
            Supported Version: TLS 1.3 (0x0304)  ← справжня версія
        Extension: key_share (len=71)
            Key Share Entry: Group: x25519, Key Exchange length: 32

Frame 6: TLSv1.3 Record Layer: Handshake Protocol: Server Hello
    Handshake Protocol: Server Hello
        Version: TLS 1.2 (0x0303)  ← legacy compatibility!
        Extension: supported_versions
            Supported Version: TLS 1.3 (0x0304)  ← обрано TLS 1.3
        Extension: key_share
            Key Share Entry: Group: x25519, Key Exchange length: 32

Frame 7: TLSv1.3 Record Layer: Handshake Protocol: (Encrypted)
    Content Type: Application Data (23)  ← шифрований HS!
    [Decrypted TLS: Certificate, CertificateVerify, Finished]

Місце TLS Record Layer у стеку:

┌─────────────────────────────────┐
│   Застосунок (HTTP, SMTP...)    │  "GET /index.html HTTP/1.1\r\n..."
└─────────────────┬───────────────┘
                  │ передає байти
┌─────────────────▼───────────────┐
│      TLS Record Protocol        │  розбиває → шифрує → передає
│  ┌──────────┐  ┌──────────────┐ │
│  │Handshake │  │Alert Protocol│ │  (субпротоколи TLS)
│  └──────────┘  └──────────────┘ │
└─────────────────┬───────────────┘
                  │ TLS Records (бінарний потік)
┌─────────────────▼───────────────┐
│         TCP (потік байтів)      │
└─────────────────────────────────┘

TLS Record (5-байтовий заголовок + payload):

┌──────────────────────────────────────────────┐
│ Content Type    │  1 байт  │ 0x17 = app data  │
│ Legacy Version  │  2 байти │ 0x03 0x03         │
│ Length          │  2 байти │ до 16384 байт     │
├──────────────────────────────────────────────┤
│                                              │
│  Encrypted Payload                           │
│  (Ciphertext + Authentication Tag)           │
│                                              │
└──────────────────────────────────────────────┘

Максимальний розмір plaintext payload: 2^14 = 16 384 байти
(з розширенням max_fragment_length: до 2^16 − 1)

17 03 03 00 45  ← заголовок (Content Type: 23, Version: TLS 1.2 legacy, Length: 69)

Encrypted payload (69 байт):
  a3 f2 b1 4c 8e 2d 71 09 ...  ← Ciphertext (AES-GCM)
  ...
  6f 2a 11 bc 9e 44 d3 7c      ← Authentication Tag (16 байт, GCM)
                                   (Полі1305: теж 16 байт)

Примітка: у TLS 1.3 Content Type у заголовку завжди 0x17
(application_data), навіть для Handshake повідомлень після
ServerHello. Справжній тип зашифровано всередині payload.

Шифрування одного TLS Record (AES-256-GCM):

Входи:
  key        = client_write_key      (32 байти, AES-256)
  nonce      = client_write_IV XOR sequence_number
               ← sequence_number інкрементується для кожного record!
               ← 0, 1, 2, 3... (захист від replay в межах сесії)
  plaintext  = дані застосунку + TLS inner content type (1 байт)
  aad        = Record Header (Content Type + Version + Length)
               ← автентифікується, але НЕ шифрується

Алгоритм:
  1. CTR режим: ciphertext = plaintext XOR AES-CTR(key, nonce)
  2. GHASH: authentication_tag = GHASH(aad || ciphertext)
     (128-бітний поліноміальний MAC над полем GF(2^128))

Вихід:
  TLS Record = Header || Ciphertext || Authentication Tag (16 байт)

Чому nonce = IV XOR sequence_number?

Проблема: AES-GCM ВИМАГАЄ унікального nonce для кожного
шифрування з одним ключем. Якщо nonce повторюється —
повна катастрофа: зловмисник може відновити ключ.

Рішення у TLS 1.3:
  implicit_nonce (12 байт) = client_write_IV XOR record_seq_num

  sequence_number = 0: nonce = IV XOR 0x000000000000000000000000
  sequence_number = 1: nonce = IV XOR 0x000000000000000000000001
  sequence_number = 2: nonce = IV XOR 0x000000000000000000000002
  ...

Кожен запис — унікальний nonce. Гарантовано, бо
sequence_number ніколи не повторюється в рамках сесії.

Alert Record:
  Level       (1 байт): warning (1) або fatal (2)
  Description (1 байт): код помилки

Приклади:
  02 00  → fatal: close_notify       — коректне закриття з'єднання
  02 02  → fatal: unexpected_message — неочікуване повідомлення
  02 14  → fatal: bad_record_mac     — невалідний MAC (некоректний ключ?)
  02 28  → fatal: handshake_failure  — не вдалось узгодити параметри
  02 2a  → fatal: bad_certificate    — проблема з сертифікатом
  02 2c  → fatal: certificate_revoked
  02 2f  → fatal: certificate_expired
  02 30  → fatal: unknown_ca         — невідомий кореневий CA
  02 46  → fatal: inappropriate_fallback — SCSV downgrade detection
  02 70  → fatal: no_application_protocol — ALPN не узгоджено
  01 00  → warning: close_notify     — graceful close (TLS 1.3: завжди fatal!)

Проблема: чому треба оновлювати ключі?

AES-GCM має обмеження: при одному ключі безпечно
зашифрувати не більше ~2^32 записів (≈4 мільярди).
Після цього ймовірність nonce-колізії стає неприйнятною.

Для HTTPS-сесій це теоретична проблема.
Але для довгострокових gRPC-стрімів, VPN-тунелів
або файлових передач — цілком реальна.

Key Update handshake (TLS 1.3):

Клієнт                                        Сервер
   │                                             │
   │ KeyUpdate (update_requested: true) 🔒 ─────►│
   │   ← просить сервер теж оновити ключ        │
   │                                             │
   │          нові ключі (HKDF-Expand від       │
   │          поточного application_secret)     │
   │                                             │
   │◄────────────────── KeyUpdate (not_requested)│
   │                                             │
   │   Обидві сторони переходять на нові ключі. │
   │   Старі ключі знищуються.                  │

TLS 1.0 CBC IV Chaining (вразливість):

Запис N:
  IV_N = останній блок ciphertext(N-1)  ← передбачуваний!
  Ciphertext_block_1 = AES(key, IV_N XOR plaintext_block_1)

Атака (спрощено):
  Зловмисник знає IV для наступного запису (він відкритий у мережі).
  Зловмисник може вибирати, які дані клієнт відправляє.
  (Наприклад, через JavaScript у браузері)

  Вгадка G такого, що: AES(key, IV XOR G) == ciphertext_block_1?
  → Підбір побайтово через browser oracle.
  → Атака відновлює cookie/session token.

SSL 3.0 CBC Padding (вразлива схема):

Block = [data...][pad_bytes...][pad_length_byte]

Перевірка: лише останній байт == кількість padding байтів.
Інші padding байти можуть бути будь-якими.

Оракул: якщо сервер повертає "MAC error" — padding OK.
         якщо "decryption error" — padding не OK.
         (або вимірювання часу відповіді)

Атака: маніпулюючи зашифрованим блоком та використовуючи
оракул, зловмисник може відновити plaintext побайтово.
1 байт = 256 спроб у середньому.
Для 16-байтового блоку = ~4096 HTTPS запитів.

TLS_FALLBACK_SCSV (захист від downgrade):

Клієнт підтримує TLS 1.2, але через помилку намагається TLS 1.1:
  ClientHello:
    Version: TLS 1.1
    CipherSuites: [..., TLS_FALLBACK_SCSV (0x56,0x00)]

Сервер підтримує TLS 1.2:
  Бачить SCSV + TLS 1.1 < TLS 1.2 → fatal alert: inappropriate_fallback
  Зловмисник не може штучно понизити версію протоколу.

Клієнт → Сервер: HeartbeatRequest
  type:    request (1)
  length:  5
  payload: "HELLO"  (5 байт)

Сервер → Клієнт: HeartbeatResponse
  type:    response (2)
  length:  5
  payload: "HELLO"  (скопійовано з запиту)

/* Вразливий код OpenSSL (спрощено): */
void tls1_process_heartbeat(SSL *s) {
    unsigned char *p = &s->s3->rrec.data[0], *pl;
    unsigned short hbtype;
    unsigned int payload;

    hbtype = *p++;             /* тип: request/response */
    n2s(p, payload);           /* довжина payload з пакету */
    pl = p;                    /* вказівник на payload */

    /* ПОМИЛКА: не перевіряється, чи payload <= реальний розмір даних! */

    unsigned char *buffer = OPENSSL_malloc(1 + 2 + payload + padding);
    memcpy(bp, pl, payload);   /* копіюємо payload байт з пам'яті */
    /* Якщо payload=65535, але реальних даних 5 — читаємо 65530 зайвих байт! */
}

Зловмисник → Сервер: HeartbeatRequest
  type:    request
  length:  65535   ← заявлена довжина
  payload: "HELLO" ← лише 5 байт реальних даних

Сервер → Зловмисник: HeartbeatResponse
  payload: "HELLO" + [65530 байт з heap-пам'яті сервера]
                         ↑
             Тут можуть бути:
             - приватні ключі TLS
             - паролі користувачів
             - session tokens
             - інші секрети з пам'яті

CRIME — атака через розмір:

Секрет у cookie: "sessionid=abc123secret"

Спроба 1: Зловмисник змушує браузер надіслати:
  ?q=sessionid=a  → cookie + query мають спільний "sessionid=a"
  Compressed size: МАЛИЙ  ← стиснення спрацювало!

Спроба 2:
  ?q=sessionid=b  → no match
  Compressed size: БІЛЬШИЙ

→ "a" правильний! Побайтово відновлюємо весь sessionid.

Birthday bound для 64-бітного блоку:

Кількість блоків для колізії з ймовірністю 50%:
  N = 2^(n/2) = 2^32 ≈ 4 мільярди блоків × 8 байт = 32 ГБ

Сучасне HTTPS з'єднання передає 32 ГБ?
  HTTP keep-alive + TLS session reuse → так, за кілька годин!
  Особливо актуально для bulk-transfer або streaming.

3DES у TLS → TLS_RSA_WITH_3DES_EDE_CBC_SHA (найпоширеніший)

Логіка downgrade атаки (спрощено):

  Клієнт (підтримує TLS 1.2 + DHE 2048):
    ClientHello: [..., TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA, ...]

  Зловмисник між клієнтом і сервером:
    Підмінює ClientHello, залишаючи лише export suites.

  Сервер (підтримує export для legacy):
    ServerHello: TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA ✓
    DHE: 512-бітні параметри

  Зловмисник: зламує 512-бітний DH за хвилини.
  Розшифровує і підмінює трафік.

Рівні TLS-абстракції у .NET:

┌─────────────────────────────────────────────┐
│  HttpClient / IHttpClientFactory            │  ← найвищий рівень
│  (HTTPS автоматично через HttpClientHandler)│
├─────────────────────────────────────────────┤
│  ASP.NET Core Kestrel                        │  ← для серверів
│  (ssl_protocols, ssl_ciphers, cert config)  │
├─────────────────────────────────────────────┤
│  SslStream                                  │  ← прямий доступ до TLS
│  (поверх будь-якого Stream: TCP, Pipe...)   │
├─────────────────────────────────────────────┤
│  System.Security.Cryptography.X509Certs     │  ← сертифікати
│  System.Net.Security.SslClientAuthOptions   │  ← налаштування
├─────────────────────────────────────────────┤
│  SChannel (Windows) / OpenSSL (Linux/macOS) │  ← нативний TLS-стек ОС
└─────────────────────────────────────────────┘

using System.Net.Security;
using System.Net.Sockets;
using System.Security.Cryptography.X509Certificates;
using System.Security.Authentication;
using System.Text;

// Підключення до HTTPS сервера вручну через SslStream
var tcpClient = new TcpClient();
await tcpClient.ConnectAsync("github.com", 443);

// Обгортаємо NetworkStream у SslStream
// leaveInnerStreamOpen: false — закрити TcpClient разом із SslStream
var sslStream = new SslStream(
    innerStream: tcpClient.GetStream(),
    leaveInnerStreamOpen: false,
    userCertificateValidationCallback: ValidateServerCertificate);

// Виконати TLS Handshake (клієнтська сторона)
var clientOptions = new SslClientAuthenticationOptions
{
    TargetHost = "github.com",          // SNI + перевірка CN/SAN
    EnabledSslProtocols = SslProtocols.Tls12 | SslProtocols.Tls13,
    CertificateRevocationCheckMode = X509RevocationMode.Online,
    // ClientCertificates — для mTLS (необов'язково)
};

await sslStream.AuthenticateAsClientAsync(clientOptions);

Console.WriteLine($"Protocol:    {sslStream.SslProtocol}");
Console.WriteLine($"Cipher:      {sslStream.NegotiatedCipherSuite}");
Console.WriteLine($"KeyExchange: {sslStream.KeyExchangeAlgorithm}");
Console.WriteLine($"Cert:        {sslStream.RemoteCertificate?.Subject}");

// Тепер SslStream — звичайний Stream для читання/запису
// Всі дані автоматично шифруються/дешифруються
var request = "GET / HTTP/1.1\r\nHost: github.com\r\nConnection: close\r\n\r\n";
await sslStream.WriteAsync(Encoding.ASCII.GetBytes(request));

using var reader = new StreamReader(sslStream);
var firstLine = await reader.ReadLineAsync();
Console.WriteLine($"Response: {firstLine}");  // HTTP/1.1 200 OK

// Коректне закриття TLS-з'єднання (відправляє close_notify alert)
await sslStream.ShutdownAsync();

// Валідатор сертифіката (можна повністю замінити стандартну поведінку)
static bool ValidateServerCertificate(
    object sender,
    X509Certificate? certificate,
    X509Chain? chain,
    SslPolicyErrors sslPolicyErrors)
{
    // У продакшені: повертати sslPolicyErrors == SslPolicyErrors.None
    // Тут — логування для навчального прикладу

    if (sslPolicyErrors != SslPolicyErrors.None)
    {
        Console.Error.WriteLine($"TLS Error: {sslPolicyErrors}");
        // RemoteCertificateChainErrors — детальні помилки ланцюжка
        if (chain != null)
        {
            foreach (var status in chain.ChainStatus)
                Console.Error.WriteLine($"  Chain: {status.StatusInformation}");
        }
        return false;  // відхилити з'єднання
    }
    return true;
}

using System.Net;
using System.Net.Security;
using System.Net.Sockets;
using System.Security.Authentication;
using System.Security.Cryptography.X509Certificates;

// Завантажити сертифікат сервера з PEM файлів
// (або з Windows Certificate Store: X509Store)
var serverCert = X509Certificate2.CreateFromPemFile(
    certPemFilePath: "server.crt",
    keyPemFilePath:  "server.key");

var listener = new TcpListener(IPAddress.Any, 8443);
listener.Start();
Console.WriteLine("TLS сервер слухає на :8443");

while (true)
{
    var tcpClient = await listener.AcceptTcpClientAsync();

    // Обробляємо кожне з'єднання в окремій Task
    _ = Task.Run(() => HandleClientAsync(tcpClient, serverCert));
}

async Task HandleClientAsync(TcpClient client, X509Certificate2 cert)
{
    await using var sslStream = new SslStream(
        client.GetStream(),
        leaveInnerStreamOpen: false);

    try
    {
        // TLS Handshake — серверна сторона
        var serverOptions = new SslServerAuthenticationOptions
        {
            ServerCertificate = cert,
            EnabledSslProtocols = SslProtocols.Tls12 | SslProtocols.Tls13,
            ClientCertificateRequired = false,    // true для mTLS
            CertificateRevocationCheckMode = X509RevocationMode.NoCheck,
            // AllowRenegotiation = false — вимкнути renegotiation (безпечніше)
        };

        await sslStream.AuthenticateAsServerAsync(serverOptions);

        Console.WriteLine($"[{client.Client.RemoteEndPoint}] "
            + $"TLS {sslStream.SslProtocol}, {sslStream.NegotiatedCipherSuite}");

        // Читати HTTP запит
        using var reader = new StreamReader(sslStream, leaveOpen: true);
        var requestLine = await reader.ReadLineAsync();
        Console.WriteLine($"Request: {requestLine}");

        // Відповісти HTTP/1.1
        var response =
            "HTTP/1.1 200 OK\r\n" +
            "Content-Type: text/plain\r\n" +
            "Content-Length: 13\r\n" +
            "Connection: close\r\n\r\n" +
            "Hello, TLS!\r\n";

        await sslStream.WriteAsync(Encoding.UTF8.GetBytes(response));
        await sslStream.ShutdownAsync();
    }
    catch (AuthenticationException ex)
    {
        // Handshake провалився (невалідний сертифікат, версія, тощо)
        Console.Error.WriteLine($"TLS Handshake failed: {ex.Message}");
    }
}

// HttpClient автоматично використовує HTTPS для https:// URL
// TLS налаштовується через HttpClientHandler (або SocketsHttpHandler)
using var httpClient = new HttpClient();
var response = await httpClient.GetStringAsync("https://api.github.com/");

var handler = new SocketsHttpHandler
{
    // Пул з'єднань — одне TLS-з'єднання перевикористовується
    // для багатьох HTTP-запитів (HTTP/1.1 Keep-Alive, HTTP/2)
    PooledConnectionLifetime = TimeSpan.FromMinutes(5),
    PooledConnectionIdleTimeout = TimeSpan.FromMinutes(1),

    SslOptions = new SslClientAuthenticationOptions
    {
        // Дозволити лише сучасні версії TLS
        EnabledSslProtocols = SslProtocols.Tls12 | SslProtocols.Tls13,

        // Власна логіка валідації сертифіката
        RemoteCertificateValidationCallback = (sender, cert, chain, errors) =>
        {
            // Приклад: ігнорувати помилки у dev-середовищі
            if (Environment.GetEnvironmentVariable("ASPNETCORE_ENVIRONMENT")
                == "Development")
            {
                return true;  // НЕБЕЗПЕЧНО У ПРОДАКШЕНІ!
            }
            return errors == SslPolicyErrors.None;
        },

        // Для mTLS: клієнтський сертифікат
        ClientCertificates = new X509CertificateCollection
        {
            X509Certificate2.CreateFromPemFile("client.crt", "client.key")
        },
    }
};

using var httpClient = new HttpClient(handler);

// Program.cs / DI реєстрація
builder.Services.AddHttpClient("SecureApi", client =>
{
    client.BaseAddress = new Uri("https://api.example.com/");
    client.DefaultRequestHeaders.Add("Accept", "application/json");
})
.ConfigurePrimaryHttpMessageHandler(() => new SocketsHttpHandler
{
    PooledConnectionLifetime = TimeSpan.FromMinutes(5),
    SslOptions = new SslClientAuthenticationOptions
    {
        EnabledSslProtocols = SslProtocols.Tls13,
    }
});

// Використання в сервісі
public class ApiService(IHttpClientFactory factory)
{
    public async Task<string> GetDataAsync()
    {
        // IHttpClientFactory керує пулом — не створює нові handler-и щоразу
        var client = factory.CreateClient("SecureApi");
        return await client.GetStringAsync("/data");
    }
}

{
    "Kestrel": {
        "Endpoints": {
            "Http": {
                "Url": "http://localhost:5000"
            },
            "Https": {
                "Url": "https://localhost:5001",
                "Certificate": {
                    "Path": "certs/server.pfx",
                    "Password": "cert-password"
                }
            }
        }
    }
}

// Program.cs
builder.WebHost.ConfigureKestrel(options =>
{
    // HTTP — лише для redirect на HTTPS (або для health checks)
    options.ListenAnyIP(5000);

    // HTTPS з повним контролем TLS
    options.ListenAnyIP(5001, listenOptions =>
    {
        listenOptions.UseHttps(httpsOptions =>
        {
            // Сертифікат: з файлу, зі сховища або через Let's Encrypt
            httpsOptions.ServerCertificate =
                X509Certificate2.CreateFromPemFile("server.crt", "server.key");

            // Дозволені версії TLS
            httpsOptions.SslProtocols = SslProtocols.Tls12 | SslProtocols.Tls13;

            // Cipher Suites (Windows: через CNG policy; Linux: через OpenSSL)
            // На Linux можна задати через DOTNET_SYSTEM_NET_SECURITY_*
            // env variables або через SslStreamCertificateContext

            // Для mTLS: вимагати клієнтський сертифікат
            httpsOptions.ClientCertificateMode =
                ClientCertificateMode.RequireCertificate;

            httpsOptions.ClientCertificateValidation =
                (cert, chain, errors) =>
                {
                    // Перевірити, що CN клієнтського сертифіката
                    // є у whitelist дозволених сервісів
                    return cert.Subject.Contains("CN=trusted-service");
                };
        });
    });
});

// Program.cs
var app = builder.Build();

// Redirect HTTP → HTTPS
app.UseHttpsRedirection();

// HSTS — лише у продакшені!
// У розробці HSTS може заблокувати localhost на HTTP
if (!app.Environment.IsDevelopment())
{
    app.UseHsts();
    // Відправляє: Strict-Transport-Security: max-age=31536000; includeSubDomains
}

// Налаштування HSTS
builder.Services.AddHsts(options =>
{
    options.MaxAge = TimeSpan.FromDays(365);   // 1 рік
    options.IncludeSubDomains = true;           // і субдомени
    options.Preload = true;                     // для HSTS preload list
    // options.ExcludedHosts.Add("api.example.com"); // виключення
});

HSTS в дії:

Перший запит (HTTP):
  Client → http://example.com/
  Server ← 301 Moved Permanently → https://example.com/
           Strict-Transport-Security: max-age=31536000

Всі наступні запити (протягом 1 року):
  Браузер: бачить "http://example.com/" → автоматично змінює на HTTPS
  Жодного HTTP запиту не надсилається взагалі.
  MitM зловмисник не може перехопити initial HTTP запит.

using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;

// Генерація самопідписаного сертифіката для localhost
// (не для продакшену!)
static X509Certificate2 CreateSelfSignedCertificate(string subjectName)
{
    using var rsa = RSA.Create(keySizeInBits: 2048);

    var request = new CertificateRequest(
        subjectName: $"CN={subjectName}",
        key: rsa,
        hashAlgorithm: HashAlgorithmName.SHA256,
        RSASignaturePadding.Pkcs1);

    // Розширення
    request.CertificateExtensions.Add(
        new X509BasicConstraintsExtension(
            certificateAuthority: false,
            hasPathLengthConstraint: false,
            pathLengthConstraint: 0,
            critical: true));

    request.CertificateExtensions.Add(
        new X509KeyUsageExtension(
            X509KeyUsageFlags.DigitalSignature | X509KeyUsageFlags.KeyEncipherment,
            critical: true));

    request.CertificateExtensions.Add(
        new X509EnhancedKeyUsageExtension(
            new OidCollection { new Oid("1.3.6.1.5.5.7.3.1") }, // serverAuth
            critical: false));

    // Subject Alternative Names (SAN)
    var sanBuilder = new SubjectAlternativeNameBuilder();
    sanBuilder.AddDnsName("localhost");
    sanBuilder.AddDnsName(subjectName);
    sanBuilder.AddIpAddress(System.Net.IPAddress.Loopback);
    request.CertificateExtensions.Add(sanBuilder.Build());

    // Самопідписаний (без CA)
    var cert = request.CreateSelfSigned(
        notBefore: DateTimeOffset.UtcNow.AddMinutes(-5),
        notAfter:  DateTimeOffset.UtcNow.AddYears(1));

    // Повернути з приватним ключем (для сервера)
    return new X509Certificate2(
        cert.Export(X509ContentType.Pfx),
        password: (string?)null,
        X509KeyStorageFlags.Exportable);
}

# Створити та встановити dev-сертифікат (робить його довіреним в ОС)
dotnet dev-certs https --trust

# Експортувати у PEM для nginx/docker
dotnet dev-certs https --export-path ./certs/dev.pem --format Pem

# Перевірити статус
dotnet dev-certs https --check --trust

# Очистити та перестворити
dotnet dev-certs https --clean
dotnet dev-certs https --trust

// З PEM файлів (Linux/macOS стандарт, Let's Encrypt)
var cert1 = X509Certificate2.CreateFromPemFile("cert.pem", "key.pem");

// З PFX/PKCS#12 файлу (Windows стандарт)
var cert2 = new X509Certificate2("cert.pfx", "password",
    X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.PersistKeySet);

// З Windows Certificate Store
using var store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly);
var certs = store.Certificates
    .Find(X509FindType.FindBySubjectName, "example.com", validOnly: true);
var cert3 = certs.Count > 0 ? certs[0] : throw new Exception("Cert not found");

// Із змінної середовища (Kubernetes Secrets, Docker Secrets)
var certBase64 = Environment.GetEnvironmentVariable("TLS_CERT_BASE64")!;
var keyBase64  = Environment.GetEnvironmentVariable("TLS_KEY_BASE64")!;
var certPem = Encoding.UTF8.GetString(Convert.FromBase64String(certBase64));
var keyPem  = Encoding.UTF8.GetString(Convert.FromBase64String(keyBase64));
var cert4 = X509Certificate2.CreateFromPem(certPem, keyPem);

# Базова перевірка TLS з'єднання
openssl s_client -connect example.com:443 -servername example.com

# Примусово тільки TLS 1.3
openssl s_client -connect example.com:443 -tls1_3

# Перевірити підтримку TLS 1.0 (має бути відхилено)
openssl s_client -connect example.com:443 -tls1   # має повернути помилку

# Перевірити OCSP Stapling
openssl s_client -connect example.com:443 -status 2>/dev/null | \
  grep -A10 "OCSP Response"

# Переглянути повний ланцюжок сертифікатів
openssl s_client -connect example.com:443 -showcerts 2>/dev/null | \
  openssl x509 -text -noout

# Виміряти час Handshake (TLS 1.3 vs TLS 1.2)
time openssl s_client -connect example.com:443 -tls1_3 < /dev/null
time openssl s_client -connect example.com:443 -tls1_2 < /dev/null

# Перелік підтримуваних Cipher Suites
nmap --script ssl-enum-ciphers -p 443 example.com

# Приклад виводу:
# PORT    STATE SERVICE
# 443/tcp open  https
# | ssl-enum-ciphers:
# |   TLSv1.2:
# |     ciphers:
# |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
# |       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
# |     compressors:
# |       NULL
# |   TLSv1.3:
# |     ciphers:
# |       TLS_AKE_WITH_AES_256_GCM_SHA384 - A
# |     cipher preference: server
# |_  least strength: A

// Програмна перевірка через Qualys SSL Labs API
using var http = new HttpClient();

var endpoint = "https://api.ssllabs.com/api/v3/analyze";
var url = $"{endpoint}?host=example.com&publish=off&ignoreMismatch=off";

var result = await http.GetFromJsonAsync<SslLabsResult>(url);
Console.WriteLine($"Grade: {result?.Endpoints?[0]?.Grade}");
// A+ — відмінно, A — добре, B — є проблеми, F — критичні вразливості

# Вимкнути TLS 1.0 та 1.1 глобально для всього .NET процесу
# (якщо не задано явно через SslProtocols)
export DOTNET_SYSTEM_NET_SECURITY_TLSPROTOCOL=Tls12,Tls13

# OpenSSL (Linux): шлях до CA certificates bundle
export SSL_CERT_FILE=/etc/ssl/certs/ca-certificates.crt
export SSL_CERT_DIR=/etc/ssl/certs/

# Вимкнути перевірку відкликання (не рекомендовано)
export DOTNET_SYSTEM_NET_SECURITY_NOOCSPCHECK=1

# Діагностика TLS (verbose logging)
export DOTNET_SYSTEM_NET_SECURITY_LOGBROWSERAUTHENTICATIONERRORS=1

// Программне налаштування глобальних TLS параметрів
// (впливає на весь AppDomain — використовувати з обережністю)
System.Net.ServicePointManager.SecurityProtocol =
    System.Net.SecurityProtocolType.Tls12 |
    System.Net.SecurityProtocolType.Tls13;
// Примітка: ServicePointManager застарів у .NET Core.
// Для .NET Core/5+ використовуйте SocketsHttpHandler.SslOptions.