Senior Go Interview Prep

- Core Go: https://go.vbloher.org/docs/01-core-go/
- Механика defer в Go: https://go.vbloher.org/docs/01-core-go/defer/
- Встраивание структур и интерфейсов (Embedding): https://go.vbloher.org/docs/01-core-go/embedding/
- Ошибки в Go: error, wrapping, errors.Is/As/Join: https://go.vbloher.org/docs/01-core-go/errors/
- Дженерики в Go (1.18+): https://go.vbloher.org/docs/01-core-go/generics/
- Интерфейсы в Go: https://go.vbloher.org/docs/01-core-go/interfaces/
- Устройство map в Go: https://go.vbloher.org/docs/01-core-go/maps/
- panic / recover: механика, раскрутка стека и runtime-паники: https://go.vbloher.org/docs/01-core-go/panic-recover/
- Указатели в Go: https://go.vbloher.org/docs/01-core-go/pointers/
- Рефлексия в Go (reflect): https://go.vbloher.org/docs/01-core-go/reflection/
- Внутреннее устройство слайсов в Go: https://go.vbloher.org/docs/01-core-go/slices/
- Строки, руны и байты в Go: https://go.vbloher.org/docs/01-core-go/strings-runes-bytes/
- Система типов Go: defined types, alignment, memory layout: https://go.vbloher.org/docs/01-core-go/type-system/
- Concurrency: https://go.vbloher.org/docs/02-concurrency/
- sync/atomic: https://go.vbloher.org/docs/02-concurrency/atomic/
- Буферизованные vs небуферизованные каналы: https://go.vbloher.org/docs/02-concurrency/buffered-unbuffered/
- Канал vs Mutex: когда что выбрать: https://go.vbloher.org/docs/02-concurrency/channel-vs-mutex/
- Каналы: устройство hchan: https://go.vbloher.org/docs/02-concurrency/channels/
- Утечки горутин, дедлоки, livelock, starvation: https://go.vbloher.org/docs/02-concurrency/common-leaks-deadlocks/
- sync.Cond: https://go.vbloher.org/docs/02-concurrency/cond/
- context: https://go.vbloher.org/docs/02-concurrency/context/
- Горутины: жизненный цикл, стоимость, стек: https://go.vbloher.org/docs/02-concurrency/goroutines-lifecycle/
- sync.Mutex и sync.RWMutex: https://go.vbloher.org/docs/02-concurrency/mutex-rwmutex/
- sync.Once: https://go.vbloher.org/docs/02-concurrency/once/
- Паттерны конкурентности: https://go.vbloher.org/docs/02-concurrency/patterns/
- Race Detector (гонки данных и -race): https://go.vbloher.org/docs/02-concurrency/race-detector/
- Планировщик GMP: https://go.vbloher.org/docs/02-concurrency/scheduler-gmp/
- select: https://go.vbloher.org/docs/02-concurrency/select/
- sync.WaitGroup: https://go.vbloher.org/docs/02-concurrency/waitgroup/
- Runtime и память: https://go.vbloher.org/docs/03-runtime-memory/
- Паттерны аллокаций и снижение давления на GC: https://go.vbloher.org/docs/03-runtime-memory/allocation-patterns/
- Escape Analysis: когда переменная убегает в кучу: https://go.vbloher.org/docs/03-runtime-memory/escape-analysis/
- Сборщик мусора Go: concurrent tri-color mark-sweep: https://go.vbloher.org/docs/03-runtime-memory/gc/
- Тюнинг GC: GOGC и GOMEMLIMIT: https://go.vbloher.org/docs/03-runtime-memory/gogc-gomemlimit/
- GOMAXPROCS: параллелизм планировщика и проблема контейнеров: https://go.vbloher.org/docs/03-runtime-memory/gomaxprocs/
- Утечки горутин (goroutine leaks): https://go.vbloher.org/docs/03-runtime-memory/goroutine-leaks/
- Утечки памяти в Go (несмотря на GC): https://go.vbloher.org/docs/03-runtime-memory/memory-leaks/
- Модель памяти Go (Go Memory Model): happens-before и синхронизация: https://go.vbloher.org/docs/03-runtime-memory/memory-model/
- pprof: профилирование CPU, памяти и блокировок в Go: https://go.vbloher.org/docs/03-runtime-memory/pprof/
- Execution Tracer и runtime/trace: тайминги вместо агрегатов: https://go.vbloher.org/docs/03-runtime-memory/runtime-tracing/
- Стек vs Куча: где живут данные в Go: https://go.vbloher.org/docs/03-runtime-memory/stack-vs-heap/
- Тестирование: https://go.vbloher.org/docs/04-testing/
- testify, assert/require и golden files: https://go.vbloher.org/docs/04-testing/assertions-testify/
- Бенчмарки в Go: https://go.vbloher.org/docs/04-testing/benchmarks/
- Покрытие, -race и флаки-тесты: https://go.vbloher.org/docs/04-testing/coverage-race/
- Нативный fuzzing в Go (1.18+): https://go.vbloher.org/docs/04-testing/fuzzing/
- Интеграционные тесты, testcontainers-go, TestMain: https://go.vbloher.org/docs/04-testing/integration-testcontainers/
- Моки, стабы и тестируемость: https://go.vbloher.org/docs/04-testing/mocks/
- Table-driven тесты, subtests и параллельность: https://go.vbloher.org/docs/04-testing/table-driven/
- Backend: https://go.vbloher.org/docs/05-backend/
- Аутентификация и авторизация: AuthN/AuthZ, сессии vs токены, RBAC/ABAC, API keys, mTLS, секреты: https://go.vbloher.org/docs/05-backend/auth-authz/
- Graceful Shutdown HTTP/gRPC сервера в Go: https://go.vbloher.org/docs/05-backend/graceful-shutdown/
- gRPC: типы RPC, интерсепторы, контекст, метаданные, error model: https://go.vbloher.org/docs/05-backend/grpc/
- JWT (JSON Web Token): https://go.vbloher.org/docs/05-backend/jwt/
- Middleware-паттерн в Go: https://go.vbloher.org/docs/05-backend/middleware/
- net/http: Server, Handler, ServeMux, таймауты, Client и контекст: https://go.vbloher.org/docs/05-backend/net-http/
- OAuth2: роли, grant types, OIDC, токены и типовые ошибки: https://go.vbloher.org/docs/05-backend/oauth2/
- OpenAPI/Swagger, code generation, contract-first vs code-first, валидация: https://go.vbloher.org/docs/05-backend/openapi/
- Protocol Buffers: схемы, wire format, эволюция и совместимость: https://go.vbloher.org/docs/05-backend/protobuf/
- REST: принципы, версионирование, идемпотентность, статусы, пагинация, ошибки: https://go.vbloher.org/docs/05-backend/rest/
- Сети и протоколы: https://go.vbloher.org/docs/06-networking/
- Пулы соединений: http.Transport, БД, утечки: https://go.vbloher.org/docs/06-networking/connection-pooling/
- DNS: записи, резолвинг, кэширование, DNS в Go: https://go.vbloher.org/docs/06-networking/dns/
- Версии HTTP: 1.1, 2, 3: https://go.vbloher.org/docs/06-networking/http-versions/
- TCP/IP: модель, транспорт и что важно бэкендеру: https://go.vbloher.org/docs/06-networking/tcp-ip/
- TLS: handshake, сертификаты, mTLS, производительность: https://go.vbloher.org/docs/06-networking/tls/
- UDP и надёжность поверх UDP: https://go.vbloher.org/docs/06-networking/udp/
- WebSocket: upgrade, фреймы, масштабирование: https://go.vbloher.org/docs/06-networking/websocket/
- Базы данных: https://go.vbloher.org/docs/07-databases/
- Пул соединений к PostgreSQL в Go: database/sql, pgx, pgxpool, PgBouncer: https://go.vbloher.org/docs/07-databases/connection-pooling-pgx/
- Взаимоблокировки (Deadlocks) в PostgreSQL: https://go.vbloher.org/docs/07-databases/deadlocks/
- Индексы в PostgreSQL: https://go.vbloher.org/docs/07-databases/indexes/
- Уровни изоляции транзакций в PostgreSQL: https://go.vbloher.org/docs/07-databases/isolation-levels/
- MVCC в PostgreSQL: версии строк, видимость, VACUUM и bloat: https://go.vbloher.org/docs/07-databases/mvcc/
- Обзор NoSQL и Redis: https://go.vbloher.org/docs/07-databases/nosql-redis/
- Партиционирование таблиц в PostgreSQL: https://go.vbloher.org/docs/07-databases/partitioning/
- Архитектура PostgreSQL: https://go.vbloher.org/docs/07-databases/postgresql-architecture/
- Планирование и оптимизация запросов в PostgreSQL: https://go.vbloher.org/docs/07-databases/query-planning/
- Репликация в PostgreSQL: https://go.vbloher.org/docs/07-databases/replication/
- Шардирование (горизонтальное масштабирование): https://go.vbloher.org/docs/07-databases/sharding/
- Транзакции в PostgreSQL и Go (database/sql, pgx): https://go.vbloher.org/docs/07-databases/transactions/
- Распределённые системы: https://go.vbloher.org/docs/08-distributed-systems/
- CAP теорема: https://go.vbloher.org/docs/08-distributed-systems/cap-theorem/
- Circuit Breaker: https://go.vbloher.org/docs/08-distributed-systems/circuit-breaker/
- Консенсус и Raft: репликация состояния в присутствии отказов: https://go.vbloher.org/docs/08-distributed-systems/consensus-raft/
- Модели согласованности: https://go.vbloher.org/docs/08-distributed-systems/consistency/
- Гарантии доставки сообщений: at-most-once / at-least-once / exactly-once: https://go.vbloher.org/docs/08-distributed-systems/delivery-guarantees/
- Eventual Consistency: https://go.vbloher.org/docs/08-distributed-systems/eventual-consistency/
- Идемпотентность в распределённых системах: https://go.vbloher.org/docs/08-distributed-systems/idempotency/
- Apache Kafka: https://go.vbloher.org/docs/08-distributed-systems/kafka/
- Transactional Outbox: https://go.vbloher.org/docs/08-distributed-systems/outbox/
- RabbitMQ: AMQP 0-9-1, маршрутизация, надёжность доставки и сравнение с Kafka: https://go.vbloher.org/docs/08-distributed-systems/rabbitmq/
- Ретраи: backoff, jitter, budgets и идемпотентность: https://go.vbloher.org/docs/08-distributed-systems/retries/
- Saga Pattern: https://go.vbloher.org/docs/08-distributed-systems/saga/
- Observability: https://go.vbloher.org/docs/09-observability/
- Grafana: https://go.vbloher.org/docs/09-observability/grafana/
- Метрики: RED, USE, Golden Signals: https://go.vbloher.org/docs/09-observability/metrics/
- OpenTelemetry: https://go.vbloher.org/docs/09-observability/opentelemetry/
- Prometheus: https://go.vbloher.org/docs/09-observability/prometheus/
- SLI / SLO / SLA: https://go.vbloher.org/docs/09-observability/slo-sli/
- Структурированное логирование (slog): https://go.vbloher.org/docs/09-observability/structured-logging/
- Distributed Tracing: https://go.vbloher.org/docs/09-observability/tracing/
- System Design: https://go.vbloher.org/docs/10-system-design/
- Analytics Pipeline: https://go.vbloher.org/docs/10-system-design/analytics-pipeline/
- Chat System: https://go.vbloher.org/docs/10-system-design/chat/
- Фреймворк System Design интервью: https://go.vbloher.org/docs/10-system-design/framework/
- Notification Service: https://go.vbloher.org/docs/10-system-design/notification-service/
- Order Service: https://go.vbloher.org/docs/10-system-design/order-service/
- Payment Service: https://go.vbloher.org/docs/10-system-design/payment-service/
- Rate Limiter: https://go.vbloher.org/docs/10-system-design/rate-limiter/
- URL Shortener: https://go.vbloher.org/docs/10-system-design/url-shortener/
- DevOps: https://go.vbloher.org/docs/11-devops/
- CI/CD: пайплайны, стадии, стратегии деплоя: https://go.vbloher.org/docs/11-devops/cicd/
- Облака (AWS / GCP) для бэкендера: https://go.vbloher.org/docs/11-devops/cloud-aws-gcp/
- Docker для Go-разработчика: https://go.vbloher.org/docs/11-devops/docker/
- GitHub Actions и GitLab CI: https://go.vbloher.org/docs/11-devops/github-gitlab-ci/
- Kubernetes для Go-разработчика: https://go.vbloher.org/docs/11-devops/kubernetes/
- Terraform / Infrastructure as Code: https://go.vbloher.org/docs/11-devops/terraform/
- Алгоритмы: https://go.vbloher.org/docs/12-algorithms/
- Типовые алгоритмические задачи и паттерны: https://go.vbloher.org/docs/12-algorithms/common-problems/
- Асимптотическая сложность (Big-O): https://go.vbloher.org/docs/12-algorithms/complexity/
- Структуры данных в Go: https://go.vbloher.org/docs/12-algorithms/data-structures/
- Специфика live-coding на Go: https://go.vbloher.org/docs/12-algorithms/go-specifics/
- Behavioral: https://go.vbloher.org/docs/13-behavioral/
- Конфликты, разногласия и работа со стейкхолдерами: https://go.vbloher.org/docs/13-behavioral/conflicts/
- Как проходит senior-интервью: этапы, оценка, оффер: https://go.vbloher.org/docs/13-behavioral/interview-flow/
- Лидерство и менторство: https://go.vbloher.org/docs/13-behavioral/leadership-mentoring/
- Типовые поведенческие вопросы для Senior: https://go.vbloher.org/docs/13-behavioral/senior-questions/


> Модуль: Сети и протоколы · Уровень: Middle+/Senior

## TL;DR
- TLS даёт конфиденциальность (шифрование), целостность (MAC/AEAD) и аутентификацию (сертификаты) поверх TCP.
- **TLS 1.3** — 1-RTT handshake (vs 2-RTT в 1.2), 0-RTT на возобновлении, выкинул небезопасные шифры (RSA key exchange, CBC, RC4), всегда forward secrecy (ECDHE).
- Доверие — через цепочку сертификатов до доверенного корневого CA; сервер шлёт leaf + промежуточные, клиент проверяет до корня.
- **SNI** позволяет хостить много доменов на одном IP (выбор сертификата); **ALPN** согласует протокол (h2/h3/http1.1) в рамках handshake.
- **mTLS** — взаимная аутентификация: клиент тоже предъявляет сертификат (zero-trust, service mesh).
- В Go всё в `crypto/tls`: `tls.Config`, `tls.Certificate`, `RootCAs`, `ClientCAs`, `ServerName`, `NextProtos`.

## Теория

### Что даёт TLS
1. **Конфиденциальность** — симметричное шифрование сессии (AES-GCM, ChaCha20-Poly1305).
2. **Целостность** — AEAD (шифрование + аутентификация в одном).
3. **Аутентификация** — проверка сертификата сервера (и опц. клиента) через PKI.

### Handshake: TLS 1.2 vs 1.3
**TLS 1.2 (2-RTT):**
```
ClientHello (cipher suites, random) ->
                <- ServerHello (выбранный cipher, random)
                <- Certificate, ServerKeyExchange, ServerHelloDone
ClientKeyExchange, ChangeCipherSpec, Finished ->
                <- ChangeCipherSpec, Finished
[данные]
```
**TLS 1.3 (1-RTT):**
```
ClientHello (+ key_share: уже шлёт ECDHE-параметры) ->
                <- ServerHello (+ key_share), {Certificate, Finished}
{Finished} ->  [данные уже можно слать]
```
Ключевые отличия 1.3:
- **1-RTT** вместо 2 (клиент сразу шлёт key_share — угадывает группу).
- **0-RTT resumption**: при возобновлении данные летят в первом же сообщении (но **replay-риск** — нельзя для не-идемпотентных операций).
- **Только forward secrecy**: статический RSA key exchange удалён, всегда (EC)DHE — компрометация ключа сервера не раскрывает прошлый трафик.
- Выкинуты слабые примитивы: RC4, CBC-mode, SHA-1, сжатие (CRIME), renegotiation.
- Бóльшая часть handshake шифруется (включая сертификат сервера).

### Сертификаты и цепочка доверия
- Сертификат X.509: публичный ключ + subject (CN/SAN) + издатель + срок + подпись CA.
- **Цепочка**: leaf (сервера) → intermediate CA(s) → root CA. Клиент имеет хранилище доверенных корней; проверяет подписи по цепочке до корня.
- **Сервер обязан слать leaf + ВСЕ промежуточные** (root клиент имеет сам). Забытый intermediate → "unable to get local issuer certificate" у части клиентов.
- Имя проверяется по **SAN** (Subject Alternative Name), CN устарел (современные клиенты CN игнорируют).
- **Отзыв**: CRL (списки) и OCSP; OCSP stapling — сервер прикладывает свежий OCSP-ответ к handshake (экономит обращение клиента к CA).

### SNI (Server Name Indication)
- Расширение ClientHello: клиент в открытом виде указывает запрашиваемый hostname **до** установки шифрованного канала.
- Позволяет одному IP/порту обслуживать много доменов с разными сертификатами (virtual hosting по TLS).
- **ECH (Encrypted Client Hello)** — современное расширение, прячет SNI (раньше hostname утекал в открытом виде).

### ALPN (Application-Layer Protocol Negotiation)
- Расширение handshake: клиент шлёт список протоколов (`h2`, `http/1.1`, `h3`), сервер выбирает.
- Так согласуется HTTP/2 без лишнего RTT. Go-сервер использует это для авто-h2.

### mTLS (взаимный TLS)
- Сервер дополнительно запрашивает сертификат клиента (`CertificateRequest`), клиент предъявляет, сервер валидирует по своему `ClientCAs`.
- Применение: service-to-service в zero-trust/service mesh (Istio/Linkerd), API с сильной аутентификацией, замена/дополнение API-ключей.

### TLS в Go
```go
// Сервер с mTLS
caPool := x509.NewCertPool()
caPool.AppendCertsFromPEM(caPEM)
cfg := &tls.Config{
    MinVersion:   tls.VersionTLS12,            // не ниже 1.2
    ClientAuth:   tls.RequireAndVerifyClientCert, // mTLS
    ClientCAs:    caPool,
    NextProtos:   []string{"h2", "http/1.1"},  // ALPN
}
srv := &http.Server{Addr: ":443", TLSConfig: cfg, Handler: mux}
srv.ListenAndServeTLS("server.crt", "server.key")
```
```go
// Клиент
clientCert, _ := tls.LoadX509KeyPair("client.crt", "client.key")
tr := &http.Transport{
    TLSClientConfig: &tls.Config{
        RootCAs:      caPool,         // кому доверяем
        Certificates: []tls.Certificate{clientCert}, // для mTLS
        ServerName:   "api.internal", // для SNI/проверки имени
        // InsecureSkipVerify: true,  // НИКОГДА в проде
    },
}
client := &http.Client{Transport: tr}
```
- `tls.Config.GetCertificate` — выбор сертификата по SNI динамически (SNI-роутинг).
- Сессионный ресампл и `ClientSessionCache` — переиспользование TLS-сессий клиентом.

## Подводные камни / gotchas
- **`InsecureSkipVerify: true`** отключает ВСЮ проверку (имя + цепочка) → MITM. Частая "временная заплатка", остающаяся навсегда. Для самоподписанных правильно — добавить CA в `RootCAs`.
- **Забытый intermediate-сертификат**: работает в браузере (он догружает AIA), падает у строгих клиентов (Go не догружает AIA по умолчанию). Всегда отдавайте full chain.
- **Истёкший сертификат** — классический инцидент; нужен мониторинг срока и авто-renew (cert-manager, ACME/Let's Encrypt).
- **0-RTT replay**: данные из 0-RTT можно переиграть → запрещено для не-идемпотентных запросов (POST с побочными эффектами).
- **SNI утечка**: hostname в ClientHello открыт (до ECH) — не "секрет", виден на сетевом уровне.
- **Clock skew**: рассинхронизация часов ломает проверку срока (`not before`/`not after`).
- **Несовпадение SAN**: сертификат на `example.com`, обращение по IP или `*.example.com` к глубокому поддомену → ошибка. Wildcard покрывает один уровень.
- **mTLS и ротация клиентских сертов**: протухший клиентский серт = массовый отказ; нужна автоматизация ротации.
- **Слишком новый MinVersion у клиента vs старый сервер** — handshake failure; следить за совместимостью.

## Вопросы на собеседовании

**В:** Чем TLS 1.3 принципиально лучше 1.2?
**О:** 1-RTT handshake (vs 2), 0-RTT на возобновлении, обязательный forward secrecy (только ECDHE, RSA key exchange удалён), выпилены слабые шифры/режимы (CBC, RC4, сжатие, renegotiation), шифрование большей части handshake включая сертификат.

**В:** Что такое forward secrecy и почему 1.3 его гарантирует?
**О:** Компрометация долгоживущего ключа сервера не позволяет расшифровать ранее перехваченный трафик. Достигается эфемерным обменом ключами (ECDHE) — сессионный ключ не выводится из ключа сертификата. В 1.3 статический RSA key exchange удалён, поэтому FS всегда.

**В:** Как работает цепочка доверия и что должен слать сервер?
**О:** Leaf подписан intermediate CA, тот — root CA, которому клиент доверяет (в хранилище корней). Сервер должен прислать leaf + все промежуточные; root у клиента уже есть. Без intermediate строгие клиенты не построят цепочку.

**В:** Зачем нужен SNI?
**О:** Клиент в ClientHello (открыто) указывает hostname, чтобы сервер на одном IP выбрал правильный сертификат — виртуальный хостинг по TLS. ECH шифрует SNI для приватности.

**В:** Что такое ALPN и при чём тут HTTP/2?
**О:** Согласование прикладного протокола в рамках TLS handshake (без лишнего RTT). Клиент шлёт список (`h2`, `http/1.1`), сервер выбирает. Так включается HTTP/2 на TLS.

**В:** Что делает `InsecureSkipVerify` и почему это опасно?
**О:** Отключает проверку имени и цепочки сертификата → канал шифруется, но не аутентифицируется, открыт для MITM. Для самоподписанных надо вместо этого добавить CA в `RootCAs`.

**В:** Что такое mTLS и где применяется?
**О:** Взаимная аутентификация: и сервер, и клиент предъявляют сертификаты. Сервер валидирует клиентский по своему набору CA (`ClientAuth: RequireAndVerifyClientCert`). Применяется в zero-trust, service mesh для service-to-service auth.

**В:** Почему 0-RTT данные нельзя использовать для любых запросов?
**О:** Они уязвимы к replay (атакующий может переотправить захваченный 0-RTT пакет). Допустимо только для идемпотентных операций (GET); POST с побочными эффектами — нет.

**В:** Как ускорить TLS на высоконагруженном сервисе?
**О:** Session resumption (session tickets/IDs) чтобы избегать полного handshake, OCSP stapling, ECDSA-сертификаты вместо RSA (дешевле подпись), TLS 1.3 (меньше RTT), AES-NI/аппаратное ускорение, переиспользование соединений (keep-alive), терминирование TLS на edge.

## На что копают на senior+
- Анатомия 1-RTT в 1.3: как клиент угадывает группу для key_share и что происходит при HelloRetryRequest.
- Session tickets vs session IDs, влияние на forward secrecy (ключ шифрования тикетов — единая точка компрометации, ротация STEK).
- OCSP stapling, OCSP must-staple, почему CRL плохо масштабируется, CT (Certificate Transparency) логи.
- ECH и угроза приватности от открытого SNI; как раньше работал domain fronting.
- mTLS в service mesh: SPIFFE/SVID, ротация коротких сертификатов, как sidecar терминирует mTLS.
- Производительность: ECDSA vs RSA cost, влияние record size на латентность, TLS False Start, 0-RTT anti-replay window.
- Постквантовая криптография в TLS (гибридные key exchange, X25519+ML-KEM) — горячая тема 2024-2026.