pag*_*uca 11 ssl https privacy sni
首先,我很抱歉我的英语不好。我还在学习它。它是这样的:
当我为每个 IP 地址托管一个网站时,我可以使用“纯”SSL(没有 SNI),并且密钥交换发生在用户甚至告诉我他想要检索的主机名和路径之前。密钥交换后,所有数据都可以安全交换。也就是说,如果有人碰巧嗅探网络,则不会泄露机密信息*(参见脚注)。
另一方面,如果我每个 IP 地址托管多个网站,我可能会使用 SNI,因此我的网站访问者需要告诉我目标主机名,然后我才能向他提供正确的证书。在这种情况下,嗅探他的网络的人可以跟踪他正在访问的所有网站域。
我的假设有什么错误吗?如果没有,假设用户也使用加密的 DNS,这是否代表隐私问题?
脚注:我还意识到嗅探器可以对 IP 地址进行反向查找并找出访问了哪些网站,但是通过网络电缆以明文形式传输的主机名似乎使审查机构更容易进行基于关键字的域阻止。
Dav*_*rtz 10
你的分析是错误的。使用 SNI 比不使用更安全。
如果没有 SNI,IP 地址将唯一标识主机。因此,任何可以确定 IP 地址的人都可以确定主机。
使用 SNI,IP 地址不会唯一标识主机。必须有人实际拦截并查看一些流量才能确定确切的主机。这比仅获取 IP 地址要困难得多。
因此,使用 SNI 比不使用它(稍微)更安全。
任何将基于对数据包数据的侵入性分析进行阻止的人也将基于 IP 地址进行阻止。无论是否使用 SNI,它们都会根据 IP 地址阻止“坏的”。
但是,您的问题的答案是“是”。SNI 确实代表了隐私问题。使用 SNI,可以拦截流量的人确实可以获得主机名和 IP 地址。
| 归档时间: |
|
| 查看次数: |
1801 次 |
| 最近记录: |