Назад к блогу

JA4 и TLS-фингерпринтинг: почему в 2026 скрапинг стал игрой идентичностей, а не прокси

Резидентного IP уже мало: в 2026 крупнейшие анти-бот системы опознают бота по TLS-рукопожатию ещё до первого байта HTML. Разбираем переход JA3→JA4+, ловушку post-quantum TLS, фингерпринтинг HTTP/2 — и что теперь реально работает для скрапинга.

📅3 июля 2026 г.
JA4 и TLS-фингерпринтинг: почему в 2026 скрапинг стал игрой идентичностей, а не прокси

Резидентный IP больше не спасает. В 2026 году крупнейшие анти-бот системы — Cloudflare, Akamai, AWS WAF — научились опознавать автоматизированный трафик ещё до того, как сервер отдаст первый байт HTML. Решение о том, бот вы или человек, принимается на этапе TLS-рукопожатия, по цифровому «отпечатку» вашего клиента. И если этот отпечаток не совпадает с формой настоящего браузера, никакой чистый жилой IP вас не выручит. Скрапинг превратился из «игры прокси» в «игру идентичностей».

Что случилось: JA4+ стал отраслевым стандартом

Ещё пару лет назад стандартом фингерпринтинга TLS был JA3 — хеш, который сворачивал версию TLS, список шифронаборов, расширения и эллиптические кривые из сообщения ClientHello в одну MD5-строку. Метод работал до Chrome 110 (январь 2023), когда Google намеренно включил рандомизацию порядка TLS-расширений как меру против фингерпринтинга. После этого JA3-хеш стал меняться при каждом соединении даже у одного и того же браузера — надёжно опознать по нему клиента стало невозможно.

Ответом стал JA4+ от FoxIO: перед хешированием шифронаборы и расширения сортируются, поэтому рандомизация Chrome больше не сбивает отпечаток. К 2026 году JA4 стал стандартом де-факто и работает как основной сигнал в бот-менеджменте Cloudflare, AWS WAF, VirusTotal и Akamai. Формат из трёх частей (a_b_c) стабилен между версиями браузера: например, Chrome 120–131 отдаёт t13d1516h2_8daaf6152771_02713d6af862, а Chrome 133–136 — t13d1516h2_8daaf6152771_d8a2da3f94cd.

Масштаб этого детекта трудно переоценить. Cloudflare анализирует более 15 млн уникальных JA4-отпечатков, собранных с 500+ млн user-agent'ов, а его ML-модель восьмого поколения обрабатывает около 46 млн HTTP-запросов в секунду. DataDome, по собственным данным, прогоняет свыше 5 трлн сигналов в сутки при задержке менее 2 мс, держа более 85 000 клиентских ML-моделей. Akamai заявляет о точности классификации ботов в диапазоне 92–98% за счёт кросс-слойного анализа.

Post-quantum TLS: свежая ловушка для скраперов

Главное изменение 2026 года, о котором знают немногие, — переход браузеров на постквантовую криптографию. И именно он сейчас выдаёт устаревшие скрап-инструменты.

Хронология проста. В апреле 2024 Chrome 124 по умолчанию включил гибридный обмен ключами X25519MLKEM768 (классический X25519 плюс ML-KEM-768, бывший Kyber). В ноябре 2024 поддержку добавил Firefox 132, в октябре 2025 — Apple на iOS и macOS. А 31 января 2026 Akamai сделал постквантовые соединения дефолтом для всех клиентов. По данным F5 Labs, уже 57,4% всех браузерных соединений несут постквантовые ключевые доли; среди Chrome-трафика PQ-совместимы 93%.

Проблема для скраперов в том, что постквантовая ключевая доля добавляет 1088 байт в ClientHello — сообщение раздувается с привычных ~300–500 байт до более чем 1400 байт и теперь не влезает в один TCP-пакет. Это даёт детектору сразу три зацепки:

  • Бинарный сигнал. Запрос, представляющийся Chrome 131, но без постквантовой ключевой доли — «красный флаг, срабатывающий ещё до первого байта HTTP-трафика».
  • Фрагментация ClientHello. Раздувшееся сообщение разбивается на несколько TCP-пакетов, и картина сегментации отличается от настоящего браузера.
  • Расширенный JA4. Научная работа (arXiv, март 2026) показала 98% точности в различении классического и постквантового TLS только по данным рукопожатия.

Отдельная история — уязвимости библиотеки uTLS, на которой построены многие Go-скраперы. Две CVE (CVE-2026-26995 и CVE-2026-27017) оставались незамеченными более двух лет и давали 25–50% вероятности детекта на соединение из-за отсутствующего расширения-паддинга и рассогласования GREASE/ECH. Лечится обновлением uTLS до 1.8.2+. Мораль: жёсткая привязка к старым отпечаткам вроде HelloChrome_120 из полезного трюка превратилась в обузу буквально за одно обновление браузера.

Не только TLS: HTTP/2 и слоистый детект

TLS-рукопожатие — лишь первый рубеж. Сразу за ним идёт фингерпринтинг HTTP/2: каждый браузер шлёт характерный набор SETTINGS-параметров и свой порядок псевдо-заголовков. У Chrome он masp, у Firefox — mpas, у Safari — mspa. А порядок псевдо-заголовков у обычного curl (mpsa) не совпадает ни с одним реальным браузером — то есть curl палится мгновенно.

В 2026 детект выстроен в чёткую цепочку, где сигналы проверяются на согласованность между собой:

  1. TCP/IP-фингерпринтинг — определение ОС ещё до шифрования;
  2. TLS ClientHello (JA4) — во время рукопожатия;
  3. HTTP/2 SETTINGS — первый кадр после TLS;
  4. порядок HTTP-заголовков в запросе;
  5. кросс-проверка: все сигналы должны «складываться» в одну непротиворечивую личность.

Именно поэтому совпадение только по JA3 сегодня хуже, чем ничего: система видит «Chrome неправильной формы» и ранжирует его как бота. Как формулируют инженеры-практики: matching TLS-fingerprint — это уже не про статический хеш, а про целостную идентичность клиента на всех слоях сразу.

Что это значит на практике

Вывод, который повторяют все серьёзные источники 2026 года: «идеальный TLS-спуф обесценивается, если запросы вдруг приходят из пяти разных локаций за две минуты». Прокси и отпечаток теперь работают только в связке. Разберём, что это меняет.

1. Фингерпринт должен быть настоящим, а не «подрисованным»

Для HTTP-запросов без исполнения JavaScript ключевые сигналы по важности: корректный JA4, правильные HTTP/2 SETTINGS и порядок псевдо-заголовков, верная последовательность заголовков и согласованность всех слоёв. Нативный Python-requests, стандартный curl и Go net/http воспроизвести это не могут. Рабочие инструменты 2026 года — curl_cffi, curl-impersonate, uTLS, tls-client, которые держат TLS-отпечаток на уровне BoringSSL. Для браузерной автоматизации сильнейшее открытое решение — Camoufox: он подменяет отпечаток на уровне C++, а не через заметные JS-патчи. Но помните про CVE — библиотеки надо обновлять.

2. Проксирование решает то, что не решит отпечаток

Даже безупречный TLS-спуф не поможет, если IP-адрес имеет плохую репутацию, а ASN известен как дата-центр. Сеть — это отдельный слой доверия: geolocation-консистентность, репутация ASN, скорость и разброс запросов. Здесь и решают резидентные прокси — трафик идёт через реальные ISP-адреса домашних пользователей, поэтому по сетевым сигналам вы неотличимы от обычного посетителя. Для самых агрессивных площадок (мобильные приложения соцсетей, банки, антифрод) ещё устойчивее мобильные прокси: IP операторов сотовой связи с NAT-шейрингом дают высочайший уровень доверия и почти не банятся пачками.

3. Побеждает связка, а не отдельный трюк

Самый эффективный (и, честно, самый дорогой) подход 2026 года собирается из четырёх компонентов одновременно: реальная браузерная автоматизация (Chromium/Firefox), маршрутизация через резидентные или мобильные ISP-адреса, stealth-плагины, убирающие телеметрию автоматизации, и рандомизация человекоподобного поведения. Правило простое: «почини рукопожатие, сохрани резидентный IP — и success rate резко растёт». Ни один из этих элементов по отдельности в 2026 больше не тянет.

Если вы только выбираете, на чём строить инфраструктуру, стоит начать с базы — понимания транспортных протоколов и того, чем HTTP/HTTPS-прокси отличаются от SOCKS5 под разные задачи скрапинга. Мы разбирали это в отдельном гайде: HTTP, HTTPS и SOCKS5 — какой прокси выбрать.

Вывод

2026 год окончательно закрыл эпоху, когда для скрапинга хватало «купить жилые прокси и крутить IP». Теперь вас опознают по форме TLS-рукопожатия, по постквантовым ключам, по порядку HTTP/2-заголовков — и все эти сигналы сверяются между собой и с сетью, из которой вы пришли. Выигрывает тот, у кого идентичность целостна на всех слоях: правдоподобный отпечаток, обновлённые библиотеки, поведение как у человека и качественная резидентная или мобильная сеть под ним. Прокси не перестали быть нужны — они стали фундаментом, поверх которого строится всё остальное.