SNI中主机名识别的安全含义及其他SNI问题
SNI中主机名识别的安全含义及其他SNI问题
提问于 2017-04-20 06:18:04
如果我在涉及SNI的https会话上执行数据包捕获,客户端Hello将以明文形式显示我请求的主机名。
我相信在SNI之前,SSL/TLS数据包本身没有任何东西能够识别有人试图攻击的站点。我正在考虑基于主机名进行监视或过滤的系统。有了SNI,他们就有能力做到这一点,即使是TLS加密的流量(基于明文客户机Hello),而在SNI之前就没有了。
如果我安装了一个非SNI证书(如果我还能得到一个),客户端是否仍然在客户端Hello包中标识自己?这仅仅是TLS 1.2中固有的,而我对SNI“问题”的引用实际上是TLS 1.2“问题”吗?
回答 1
Security用户
发布于 2017-04-20 07:03:28
我相信在SNI之前,SSL/TLS数据包本身没有任何东西能够识别有人试图攻击的站点。
这是错误的。服务器返回的证书包含作为主题的站点名称。虽然这可能没有SNI那么具体,因为可能有多个名称作为subject (尤其是CDN中的名称)。
如果我安装了一个非SNI证书.
不存在SNI证书或非SNI证书。SNI是TLS握手中的一个扩展,它需要支持多个站点,从而支持使用相同IP地址的不同证书。它与HTTP请求中的header相当。而且,由于客户端使用SNI来实际获取与目标名称匹配的证书,所以在第一种情况下,它不能是证书的属性。
是否使用SNI扩展完全取决于客户端。但是,所有现代浏览器和大多数TLS库都这样做,因为它们需要支持多个站点共享相同IP地址的常见情况。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/157707
复制相关文章
相似问题
腾讯云开发者
