Po pierwsze przepraszam za mój zły angielski. Nadal się tego uczę. Oto jest:
Gdy hostuję jedną witrynę dla każdego adresu IP, mogę używać „czystego” protokołu SSL (bez SNI), a wymiana kluczy następuje, zanim użytkownik powie mi nazwę hosta i ścieżkę, którą chce odzyskać. Po wymianie klucza wszystkie dane można bezpiecznie wymieniać. To powiedziawszy, jeśli ktoś będzie wąchał sieć, nie zostaną ujawnione żadne poufne informacje * (patrz przypis).
Z drugiej strony, jeśli hostuję wiele stron internetowych na jeden adres IP, prawdopodobnie użyję SNI, a zatem odwiedzający moją stronę musi mi powiedzieć docelową nazwę hosta, zanim będę mógł dostarczyć mu odpowiedni certyfikat. W takim przypadku ktoś wąchający jego sieć może śledzić wszystkie domeny witryny, do których ma dostęp.
Czy w moich założeniach są jakieś błędy? Jeśli nie, to czy nie stanowi to zagrożenia dla prywatności, zakładając, że użytkownik używa również szyfrowanego DNS?
Przypis: Zdaję sobie również sprawę, że sniffer może dokonać wstecznego wyszukiwania adresu IP i dowiedzieć się, które strony internetowe były odwiedzane, ale nazwa hosta podróżująca w postaci zwykłego tekstu przez kable sieciowe wydaje się ułatwiać władzom cenzury blokowanie domen opartych na słowach kluczowych.
Odpowiedzi:
Twoja analiza jest nieprawidłowa. Jesteś bezpieczniejszy dzięki SNI niż bez niego.
Bez SNI adres IP jednoznacznie identyfikuje host. W ten sposób każdy, kto może ustalić adres IP, może określić hosta.
W przypadku SNI adres IP nie jednoznacznie identyfikuje hosta. Ktoś musiałby faktycznie przechwycić i przejrzeć część ruchu, aby ustalić dokładny host. Jest to trudniejsze niż tylko uzyskanie adresu IP.
Jesteś więc (nieco) bardziej bezpieczny dzięki SNI niż bez niego.
Każdy, kto będzie blokował na podstawie uciążliwej analizy danych pakietowych, będzie również blokował na podstawie adresu IP. Będą blokować „złe” na podstawie adresu IP z SNI lub bez SNI.
Jednak odpowiedź na twoje pytanie brzmi „tak”. SNI nie stanowi zagrożenia dla prywatności. Dzięki SNI ktoś, kto może przechwycić ruch, oprócz nazwy IP otrzymuje nazwę hosta.
źródło
Masz rację. SNI jest poważnym problemem dla twoich odwiedzających - ujawnia dokładne strony internetowe, z którymi użytkownicy łączą się z dostawcą usług internetowych i innymi pasywnymi stronami słuchającymi. Ale tak też DNS ... no cóż ... przywykł do: google naprawia to: -
https://thehackernews.com/2017/10/android-dns-over-tls.html
Znajomość adresu IP NIE mówi ISP, która strona internetowa znajduje się na tym adresie IP, chyba że aktywnie wychodzą i szukają siebie, co jest czymś zupełnie innym niż pasywne węszenie pakietów klientów.
źródło