Nascondi SNI chiaro quando si utilizza https

Non è possibile nascondere le informazioni SNI se il server lo richiede per servire il certificato corretto. C'è stata una discussione sulla crittografia di queste informazioni in TLS 1.3. Ma questa idea è stata abbandonata poiché ciò richiederebbe la creazione di un ulteriore livello di crittografia e quindi l'aggiunta di un sovraccarico aggiuntivo alla creazione della connessione. A parte questo, queste informazioni potrebbero comunque fuoriuscire a causa delle ricerche DNS e naturalmente anche attraverso il certificato inviato dal server, il che è evidente. Quindi, se vuoi proteggere meglio la tua privacy, devi utilizzare un ulteriore livello di crittografia, come una VPN.

Per maggiori dettagli vedi anche

• Perché le richieste HTTPS includono il nome host in testo chiaro?
• In che modo HTTPS / SSL è in grado di nascondere il sito Web di destinazione a cui ci si sta connettendo?

How do I prevent the other end from finding out which website I'm visitting on the server?

(Obviously not by using VPN or proxies.)

Hai identificato il metodo principale.

In teoria, è possibile inviare un nome host come parte di SNI e uno diverso nell'intestazione dell'Host http. Tuttavia, Apache almeno ti impedisce di farlo .

Potrebbe essere possibile inviare la richiesta senza SNI.

Purché il server di destinazione non disponga di applicazioni di rete SSL (ad esempio, bilanciamento del carico SSL non decrittografante o proxy inverso) che utilizza SNI per reindirizzare le connessioni al server corretto e il server dispone di un singolo certificato SAN o jolly che copre tutti i servizi ospitati lì, il server dovrebbe essere in grado di gestire le richieste senza SNI.