TL; DR: TLS protegge solo il contenuto di un messaggio. Non i metadati.
Quando comunichi tramite la rete chiara, è importante ricordare che ci sono alcune parti di una determinata comunicazione che non possono essere protette utilizzando tecnologie standard. A meno che tu non usi qualcosa come TOR, il tuo ISP sarà in grado di determinare con chi stai parlando anche se stai usando TLS.
Per usare un'analogia, immagina di inviare una busta tramite il servizio postale. Il contenuto della busta è completamente inaccessibile a chiunque non sia il destinatario. Anche se un postino dovesse in qualche modo visionare il contenuto, non sarebbe in grado di comprenderlo (forse lo hai eseguito prima attraverso un codice Caesar? Hehe).
Tuttavia, per fare in modo che il servizio postale lo invii all'indirizzo corretto, l'esterno della busta deve essere contrassegnato con una rappresentazione chiaramente leggibile dell'indirizzo di destinazione. Se il servizio postale non voleva che qualcuno fosse in grado di inviare lettere a "Joe Schmoe, 123 Fake street", allora non potevano semplicemente consegnare alcuna lettera con quell'indirizzo.
Poiché il servizio postale non è in grado di leggere il contenuto del messaggio, non ha modo di identificare l'intento della lettera. L'unica informazione che hanno è il fatto che il destinatario previsto è Joe Schmoe. Non possono filtrare solo le lettere che ritengono maligne; è tutto o niente.
Allo stesso modo, il protocollo IP (il protocollo di routing su cui viene eseguito il TCP in cima) ha chiaramente contrassegnato i campi "mittente" e "destinatario". TLS non può crittografarlo per due motivi:
- TLS viene eseguito su TCP / IP e, quindi, non può modificare parti dei pacchetti che appartengono a tali protocolli.
- Se la sezione IP è stata crittografata, il servizio di trasporto (router ISP) non sarebbe in grado di identificare dove i pacchetti devono andare.
Il firewall che il tuo ISP o Paese sta forzando tutto il tuo traffico attraverso non può ispezionare il traffico TLS. Conoscono solo i metadati forniti dal protocollo TCP / IP. Hanno anche ritenuto che il sito a cui si desidera accedere sia più cattivo che buono, quindi rilasciano tutto il traffico da e verso il sito indipendentemente dal contenuto.
Esiste un metodo per proteggere anche i metadati delle comunicazioni online, ma è lento e non molto scalabile. I servizi nascosti TOR sono un tentativo di implementarlo. Ovviamente, i servizi nascosti funzionano solo all'interno della rete TOR, alla quale è possibile accedere solo collegandosi prima a una macchina attraverso la rete trasparente. Ciò significa che l'ISP o il firewall sanno ancora che stai trasmettendo i tuoi dati attraverso la cipolla. Non importa come ci provi, perderai sempre i alcuni metadati. Se lo volessero, potrebbero ripristinare tutte le connessioni ai nodi TOR in aggiunta al sito che stanno attualmente bloccando.
Se stai cercando di stabilire una connessione diretta a un IP specifico attraverso un firewall e il firewall ha regole esplicite per uccidere il traffico verso o da quel determinato IP, la connessione a quell'IP direttamente sarà sempre infruttuosa. Dovrai collegarti indirettamente, tramite TOR, una VPN o qualche altro servizio proxy.