Usando HTTPS, si può vedere il dominio di destinazione?

3

Se vado a https://google.com/q=test_query con dal mio browser, quale traffico può essere visto sul router?

Il nome di dominio (google.com) può essere visto? In tal caso, posso bloccare tutto il traffico verso una pagina Web impedendo l'accesso a quel dominio? Qualcosa cambia se il sito web ha più IP (server diversi)?

Grazie!

    
posta 28.05.2014 - 11:17
fonte

2 risposte

2

Puoi bloccare per IP e per nome di dominio. Se il dominio utilizza indirizzi IP diversi e si blocca un solo IP, il sito continuerà a funzionare con gli altri indirizzi IP. Se blocchi il dominio e il sito funziona aprendo l'indirizzo IP nel browser, continuerà a funzionare.

È possibile bloccare nomi di dominio e indirizzi IP per numero di porta. Quindi puoi bloccare 443 e HTTPS è bloccato per quel dominio, o IP, ecc.

Il router può vedere il dominio quando si utilizza HTTPS, ma non il percorso e la query.

    
risposta data 28.05.2014 - 11:39
fonte
1

Se utilizzi un browser abbastanza recente (principalmente non su Windows XP), probabilmente avrà il supporto SNI per consentire l'hosting virtuale dei siti HTTPS.

Ciò significa che invierà il nome di dominio non crittografato per consentire al server di scegliere il certificato corretto. A seconda di ciò che si utilizza per filtrare il traffico, è possibile bloccare il traffico HTTP e HTTPS verso un dominio specifico inserendo nella blacklist i domini. Tuttavia, tieni presente che un utente con un browser che non supporta SNI potrebbe essere in grado di ignorare questo filtro a seconda del criterio per le richieste senza SNI.

Se l'IP (o gli IP) del sito web non cambia, potrebbe essere più semplice filtrare in base all'indirizzo IP (ma è improbabile che ciò avvenga per Google). Il filtraggio a livello IP basato sul nome di dominio è di solito una cattiva idea in quanto implica una ricerca DNS all'inizio (ad es. Iptables) che potrebbe non finire per bloccare l'intero dominio o invertire le ricerche DNS per ogni nuovo IP (senza nemmeno una garanzia che il contrario corrisponderà a ciò che ti aspetti, ad esempio example.com potrebbe puntare a 203.0.113.1 che, una volta invertito, potrebbe puntare a server1.example.com o anche server1.CDN.com). Alcuni sistemi potrebbero tuttavia essere in grado di farlo in base alle richieste e alle risposte DNS intercettate.

    
risposta data 28.05.2014 - 12:22
fonte

Leggi altre domande sui tag