运营商能否知道我访问某些 HTTPS 网站的域名?

2018-07-29 12:32:39 +08:00
 mixchen01
比如我不经过代理访问 github.com 这个网站,运营商或者抓包能否知道我在访问 github.com 这个域名?
5026 次点击
所在节点    问与答
21 条回复
just1
2018-07-29 12:34:49 +08:00
可以的,证书里有
t6attack
2018-07-29 12:38:52 +08:00
敲完回车,第一个 UDP 包就把域名交出去了。
zhuanzh
2018-07-29 12:39:15 +08:00
可以啊 dns 了解一下 明文的
dns over tls 可以解决但没有广泛使用
mixchen01
2018-07-29 12:41:21 +08:00
@just1
@t6attack
@zhuanzh
感谢解答
heiyutian
2018-07-29 12:45:16 +08:00
能知道域名全部地址吗?比如 baidu.com 他知道了,baidu.com/xxx.xxx
RobertYang
2018-07-29 12:46:06 +08:00
知道,请求头里面就有,明文
mofe
2018-07-29 12:46:42 +08:00
@heiyutian 不能
miyuki
2018-07-29 12:56:58 +08:00
DNS 解析会有
证书也会暴露
miyuki
2018-07-29 12:58:34 +08:00
@heiyutian

不能,baidu.com 是证书中的

以下内容是加密的


GET /xxx.xxx

Host: baidu.com
Referer: https://www.v2ex.com/t/475061
heiyutian
2018-07-29 13:05:25 +08:00
@mofe
@miyuki 那就好,这样稍微放点心。
richard1122
2018-07-29 13:10:14 +08:00
现在握手时候都有 SNI 的,域名是明文发送的。

https://zh.wikipedia.org/wiki/%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%90%8D%E7%A7%B0%E6%8C%87%E7%A4%BA
xierch
2018-07-29 13:51:27 +08:00
xierch
2018-07-29 13:53:01 +08:00
TLS 1.3 开始证书也会加密传了
gam2046
2018-07-29 15:53:40 +08:00
client hello 里一定是包含域名信息的。不然服务端怎么知道具体下发哪个证书?

当然完整的访问 URI 是拿不到的,握手完成后,才会进行这些信息的交换。

来参考一下这个流程图?

https://upload-images.jianshu.io/upload_images/128529-abd6f1e1e6e126b5.jpg?imageMogr2/auto-orient/
caola
2018-07-29 18:30:56 +08:00
SNI 加密的相关草案:
https://tools.ietf.org/html/draft-ietf-tls-sni-encryption
https://tools.ietf.org/html/draft-rescorla-tls-esni

或许以后就会迎来加密的 SNI,到那时某防火墙不知道还有这么给力么。。。
dahounet
2018-07-29 18:47:35 +08:00
@caola dns 污染了解一下,封 ip 了解一下
caola
2018-07-30 04:26:41 +08:00
@dahounet SNI 加密草案中也提到了 DNS 污染问题,客户端要通过校验 DNSSEC 和 DoH/DPRIVE 来保护 DNS,
DNSSEC 的扩展也容易被劫持 (某防火墙就干了这事),但 DoH 又会产生一定的性能问题。
我相信这个问题会得到解决,比如使用正在草案的 DoQ (DNS over QUIC) 。

如果 SNI 加密和 DNS 得到真正的解决,那么封 IP 的意义已经不大了,
以后是 IPV6 的天下 IP 多得是,整段的封? TM 不会换其他段的 IP 啊,反正 IP 多得是且免费,看你怎么封,
即使不备案使用国内的服务器又怎样,反正机房或服务器商,都根本不会知道你访问的域名和内容是什么,谈何封锁。。。
flowfire
2018-07-30 10:02:46 +08:00
@caola #17 白名单了解一下
caola
2018-07-30 17:46:51 +08:00
@flowfire 如果解决了 SNI 加密 和 DNS 的安全问题,白名单有个屁用!

加入 hsts 列表的域名,或者像 .app 后缀之类默认是 hsts 里的域名,压根都不会走 http 协议

请问在此情况下,你如何检查用户访问的域名及内容是什么?你如何白名单?
flowfire
2018-07-30 17:52:59 +08:00
@caola #19 dns 最终都要解析到 IP
只需要规定白名单以外的 IP 不允许 ISP 提供互联网服务,你上层再怎么加密也毫无卵用。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/475061

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX