Будет ли имя веб-сайта в сертификате, используемом сервером во время рукопожатия, уничтожать цель DNS через https?

Question

Будет ли имя веб-сайта в сертификате, используемом сервером во время рукопожатия, уничтожать цель DNS через https?

При запросе DNS через https предположим, что пользователь получает IP через защищенное соединение. В процессе рукопожатия веб-сайт делится своим сертификатом в виде открытого текста, который включает название веб-сайта и другую информацию. Это убьет DNS через цель https кроме активного сниффинга?

1

security dns dnsmasq

Источник

user9592165 03 апр '18 в 16:04

1 ответ

Решение

Другие вопросы по тегам security dns dnsmasq

user18829 04 апр '18 в 14:12 2018-04-04 14:12 · Accepted Answer · 2018-04-04 14:12

На самом деле в протоколах TLS, используемых HTTPS, есть два открытых текста.

Сертификат сервера - отправлено сервером в ServerHello
Информация об имени сервера (SNI) - отправляется клиентом в ClientHello

Последняя версия TLS: 1.3, которая начинает использоваться браузерами и программным обеспечением для веб-серверов, обеспечивает шифрование для ServerHello, и в течение года должна быть широко распространена, что значительно снижает вероятность выявления доменных имен в сертификатах.,

SNI сложнее отправить в защищенной зашифрованной форме, устойчивой к активным злоумышленникам (защита от пассивного мониторинга более практична, но не защищает целевых клиентов). SNI используется серверами веб-хостинга, чтобы определить, какой сертификат службы следует использовать, когда несколько служб используют один и тот же IP-адрес.

Несмотря на то, что информация SNI в открытом тексте ослабляет цели конфиденциальности DNS-over-HTTPS и альтернативного DNS-over-TLS, есть веские основания для шифрования и аутентификации DNS-запросов и ответов.

Защищает от перехвата и модификации, будь то цензура или отравление вредоносного домена
Блокирует как пассивный, так и активный мониторинг одной части ваших интернет-коммуникаций.

Не весь интернет-трафик является веб-, если вы запускаете агент пересылки почты, он должен искать домены ваших получателей электронной почты, и даже когда он использует SMTP TLS, SNI обычно не участвует.

Для просмотра веб-страниц существуют механизмы, которые могут использоваться операторами чувствительных доменов, такие как " Обнаружение доменов", которые можно использовать для уменьшения раскрытия SNI, отправляя один домен в запросе SNI, а другой - на HTTP-хосте.: заголовок Существует даже интернет-проект предложения по поставке желаемого "внешнего" SNI через DNS.

Существует также несколько различных интернет-проектов предложений по защите SNI: один использует как записи DNS, так и расширения TLS, а другой использует туннелирование для защиты информации SNI. У автора последнего предложения есть более общедоступное сообщение в блоге, иллюстрирующее трудности защиты SNI от всех возможных атак.