Implicazioni sulla sicurezza dell'identificazione del nome host in SNI e altre domande SNI

0

Se eseguo l'acquisizione di pacchetti in una sessione https in cui è coinvolto SNI, Client Hello rivela, in testo semplice, il nome host che sto richiedendo.

Credo che prima di SNI non ci fosse nulla in un pacchetto SSL / TLS in grado di identificare il sito che qualcuno stava cercando di colpire. Sto pensando a sistemi che monitorano o filtrano in base al nome host richiesto. Con SNI, hanno la possibilità di farlo anche per il traffico crittografato con TLS (basato sul client in chiaro in chiaro), mentre non lo hanno fatto prima di SNI.

Se installo un certificato non SNI (se potessi anche averne uno più), il client si identifica ancora nel pacchetto Client Hello? È solo inerente a TLS 1.2 e il mio riferimento al "problema" SNI è in realtà un problema di "TLS 1.2"?

    
posta theglossy1 20.04.2017 - 08:18
fonte

1 risposta

4

I believe that before SNI, there was nothing in an SSL/TLS packet itself that could identify the site somebody was trying to hit.

È sbagliato. Il certificato inviato dal server contiene il nome del sito come soggetto. Anche se questo potrebbe non essere specifico come SNI dato che potrebbero esserci più nomi dati come oggetto (specialmente vero con CDN).

If I install a non-SNI certificate ...

Non esiste un certificato SNI o non SNI. SNI è un'estensione nell'handshake TLS necessaria per supportare diversi siti e quindi diversi certificati che utilizzano lo stesso indirizzo IP. È paragonabile all'intestazione Host nella richiesta HTTP. E poiché SNI viene utilizzato dal client per ottenere effettivamente il certificato che corrisponde al nome di destinazione nel primo caso, non può essere una proprietà del certificato.

È completamente a carico del client se l'estensione SNI viene utilizzata o meno. Tuttavia, tutti i browser moderni e la maggior parte delle librerie TLS lo fanno perché devono supportare il caso comune di più siti che condividono lo stesso indirizzo IP.

    
risposta data 20.04.2017 - 09:03
fonte

Leggi altre domande sui tag