Ssl
SNI 是否代表我的網站訪問者的隱私問題?
首先,我很抱歉我的英語不好。我還在學習它。它是這樣的:
當我為每個 IP 地址託管一個網站時,我可以使用“純” SSL(沒有 SNI),並且密鑰交換發生在使用者甚至告訴我他想要檢索的主機名和路徑之前。密鑰交換後,所有數據都可以安全交換。也就是說,如果有人碰巧在嗅探網路,則不會洩露任何機密資訊*(見腳註)。
另一方面,如果我為每個 IP 地址託管多個網站,我可能會使用 SNI,因此我的網站訪問者需要告訴我目標主機名,然後我才能為他提供正確的證書。在這種情況下,嗅探他的網路的人可以跟踪他正在訪問的所有網站域。
我的假設有什麼錯誤嗎?如果不是,這是否代表隱私問題,假設使用者也在使用加密的 DNS?
腳註:我還意識到嗅探器可以對 IP 地址進行反向查找並找出訪問了哪些網站,但是通過網路電纜以純文字形式傳輸的主機名似乎使基於關鍵字的域封鎖更容易被審查機構阻止。
你的分析不正確。使用 SNI 比不使用 SNI 更安全。
沒有 SNI,IP 地址唯一標識主機。因此,任何可以確定 IP 地址的人都可以確定主機。
使用 SNI,IP 地址不會唯一標識主機。必須有人實際攔截並查看一些流量以確定確切的主機。這比僅獲取 IP 地址要困難得多。
所以你(稍微)使用 SNI 比沒有它更安全。
任何將基於對數據包數據的侵入性分析進行阻止的人也將基於 IP 地址進行阻止。他們將根據帶有或不帶有 SNI 的 IP 地址阻止“壞的”。
但是,您的問題的答案是“是”。SNI 確實代表了隱私問題。使用 SNI,可以攔截流量的人除了獲得 IP 地址外,還可以獲得主機名。