【发布时间】:2016-02-22 08:08:52
【问题描述】:
DNS 流量(请求和响应)已由 DNSCrypt 加密。在这种情况下,主机名(https://www.example.com /destination IP 地址)在我的 TLS 会话期间是否可以在传输过程中被第三方读取?实际上,我想澄清一下是什么让主机名对其他人可见 - 仅未加密的 DNS 流量或未加密的 DNS 和在 TLS 会话上下文中对目标服务器的初始请求?
【问题讨论】:
【发布时间】:2016-02-22 08:08:52
【问题描述】:
主机名是 TLS 握手的 Server Name Indication (SNI) 扩展的一部分。当使用此扩展时,它会在握手的 ClientHello 部分中以明文形式发送。当前所有浏览器都使用 SNI。
除此之外,主机名通常是服务器证书的一部分。在 SSL 握手期间,服务器也会以明文形式发送证书。
这意味着 DNSCrypt 仅保护 DNS 查找,仅此而已。
顺便说一句,解决此类问题的更好论坛是 security.stackexchange.com。
【讨论】: