O SNI representa uma preocupação de privacidade para os visitantes do meu site?

10

Em primeiro lugar, sinto muito pelo meu inglês ruim. Eu ainda estou aprendendo. Aqui vai:

Quando eu hospedo um único site por endereço IP, posso usar SSL "puro" (sem SNI) e a troca de chaves ocorre antes que o usuário me diga o nome do host e o caminho que ele deseja recuperar. Após a troca de chaves, todos os dados podem ser trocados com segurança. Dito isto, se alguém estiver farejando a rede, nenhuma informação confidencial será vazada * (consulte a nota de rodapé).

Por outro lado, se eu hospedar vários sites por endereço IP, provavelmente usarei o SNI e, portanto, o visitante do meu site precisará me informar o nome do host de destino antes de fornecer o certificado correto. Nesse caso, alguém que cheira sua rede pode rastrear todos os domínios do site que está acessando.

Existem erros nas minhas suposições? Caso contrário, isso não representa uma preocupação com a privacidade, supondo que o usuário também esteja usando DNS criptografado?

Nota de rodapé: Também percebo que um farejador poderia fazer uma pesquisa inversa no endereço IP e descobrir quais sites foram visitados, mas o nome do host que viaja em texto sem formatação pelos cabos da rede parece facilitar o bloqueio de domínios com base em palavras-chave para as autoridades de censura.

ssl https privacy sni pagliuca
fonte
O que você quer dizer com "bloqueio de domínio com base em palavras-chave"? Como você corresponderia um domínio a uma palavra-chave?
David Schwartz
Exemplos: sites de uma região específica (* .com.br); de uma organização (* .google.com); *pornô*; etc
pagliuca 19/10/12

Respostas:

9

Sua análise está incorreta. Você é mais seguro com o SNI do que sem.

Sem o SNI, o endereço IP identifica exclusivamente o host. Portanto, qualquer pessoa que possa determinar o endereço IP pode determinar o host.

Com o SNI, o endereço IP não identifica exclusivamente o host. Alguém precisaria realmente interceptar e visualizar parte do tráfego para determinar o host exato. Isso é mais difícil do que apenas obter o endereço IP.

Então você é (um pouco) mais seguro com o SNI do que sem ele.

Qualquer pessoa que bloqueie com base em uma análise intrusiva de dados de pacote também bloqueará com base no endereço IP. Eles bloquearão os "ruins" com base no endereço IP com ou sem SNI.

No entanto, a resposta para sua pergunta é "sim". O SNI representa uma preocupação de privacidade. Com o SNI, alguém que possa interceptar o tráfego obtém o nome do host além do endereço IP.

David Schwartz
fonte
Obrigado pela resposta. Portanto, o SNI seria mais seguro apenas nos casos em que o atacante começa a cheirar somente depois que as chaves já foram trocadas, estou correto?
Paginuca 19/10/12
2
O SSL @pagliuca realmente não foi projetado para ocultar quem você está falando, foi projetado para ocultar o que você está dizendo a eles. Você não vai derrotar um filtro da Web, evitando o envio de SNI; eles mantêm extensos bancos de dados de IP para domínio. Seja como for, um navegador cliente que suporte SNI sempre enviará SNI, independentemente de seu servidor precisar.
21712 Shane Madden
@ShaneMadden Interesting. Sabendo disso, agora não tenho motivos para não usar o SNI :), pois é provável que a maioria dos usuários já tenha navegadores que expõem o nome do host remoto em todas as solicitações HTTPS.
Paginuca 20/10/12
1
Esta resposta está errada. É muito mais fácil farejar passivamente o SNI (e saber com certeza qual site o visitante solicitou), do que acessar ativamente um endereço IP para adivinhar o que um usuário estava navegando (que com caracteres curinga pode ter muitos sites, e os IPs também mudam com o tempo, enquanto os dados SNI coletados permanecem perpetuamente precisos, destruindo a privacidade.).
dez
@cnd Você não precisa "sair ativamente para um endereço IP". Se você pode farejar passivamente o SNI, pode farejar passivamente o endereço IP. Ou é na sua lista de sites que você está assistindo ou não. E sem o SNI, um endereço IP identifica exclusivamente um site. Com o SNI, isso não acontece.
David Schwartz
0

Você está certo. O SNI é uma grande preocupação de privacidade para seus visitantes - expõe os sites exatos com os quais os visitantes se conectam ao provedor de serviços de Internet e outras partes passivas de audição. Mas então, o mesmo acontece com o DNS ... bem ... costumava: o google está corrigindo isso: -

https://thehackernews.com/2017/10/android-dns-over-tls.html

O conhecimento de um endereço IP NÃO informa ao ISP qual site está nesse endereço IP, a menos que eles saiam ativamente e se identifiquem, o que é uma coisa muito diferente do que eles farejam passivamente pacotes de clientes.

cnd
fonte