1
just1 2018-07-29 12:34:49 +08:00 via Android 1
可以的,证书里有
|
2
t6attack 2018-07-29 12:38:52 +08:00 1
敲完回车,第一个 UDP 包就把域名交出去了。
|
3
zhuanzh 2018-07-29 12:39:15 +08:00 via Android 1
可以啊 dns 了解一下 明文的
dns over tls 可以解决但没有广泛使用 |
5
heiyutian 2018-07-29 12:45:16 +08:00 via Android
能知道域名全部地址吗?比如 baidu.com 他知道了,baidu.com/xxx.xxx
|
6
RobertYang 2018-07-29 12:46:06 +08:00 via Android 1
知道,请求头里面就有,明文
|
8
miyuki 2018-07-29 12:56:58 +08:00 1
DNS 解析会有
证书也会暴露 |
9
miyuki 2018-07-29 12:58:34 +08:00 1
@heiyutian
不能,baidu.com 是证书中的 以下内容是加密的 GET /xxx.xxx Host: baidu.com Referer: https://www.v2ex.com/t/475061 |
11
richard1122 2018-07-29 13:10:14 +08:00 2
现在握手时候都有 SNI 的,域名是明文发送的。
https://zh.wikipedia.org/wiki/%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%90%8D%E7%A7%B0%E6%8C%87%E7%A4%BA |
12
xierch 2018-07-29 13:51:27 +08:00 2
|
13
xierch 2018-07-29 13:53:01 +08:00 1
TLS 1.3 开始证书也会加密传了
|
14
gam2046 2018-07-29 15:53:40 +08:00 1
client hello 里一定是包含域名信息的。不然服务端怎么知道具体下发哪个证书?
当然完整的访问 URI 是拿不到的,握手完成后,才会进行这些信息的交换。 来参考一下这个流程图? https://upload-images.jianshu.io/upload_images/128529-abd6f1e1e6e126b5.jpg?imageMogr2/auto-orient/ |
15
caola 2018-07-29 18:30:56 +08:00 1
SNI 加密的相关草案:
https://tools.ietf.org/html/draft-ietf-tls-sni-encryption https://tools.ietf.org/html/draft-rescorla-tls-esni 或许以后就会迎来加密的 SNI,到那时某防火墙不知道还有这么给力么。。。 |
17
caola 2018-07-30 04:26:41 +08:00
@dahounet SNI 加密草案中也提到了 DNS 污染问题,客户端要通过校验 DNSSEC 和 DoH/DPRIVE 来保护 DNS,
DNSSEC 的扩展也容易被劫持 (某防火墙就干了这事),但 DoH 又会产生一定的性能问题。 我相信这个问题会得到解决,比如使用正在草案的 DoQ (DNS over QUIC) 。 如果 SNI 加密和 DNS 得到真正的解决,那么封 IP 的意义已经不大了, 以后是 IPV6 的天下 IP 多得是,整段的封? TM 不会换其他段的 IP 啊,反正 IP 多得是且免费,看你怎么封, 即使不备案使用国内的服务器又怎样,反正机房或服务器商,都根本不会知道你访问的域名和内容是什么,谈何封锁。。。 |
19
caola 2018-07-30 17:46:51 +08:00
@flowfire 如果解决了 SNI 加密 和 DNS 的安全问题,白名单有个屁用!
加入 hsts 列表的域名,或者像 .app 后缀之类默认是 hsts 里的域名,压根都不会走 http 协议 请问在此情况下,你如何检查用户访问的域名及内容是什么?你如何白名单? |