Просто интересно, если вы используете SSL/TLS на прикладном уровне, не заставит ли это кого-нибудь пытаться прослушать мой клиент и маршрутизатор, и он не сможет увидеть, какие веб-сайты я запрашиваю?
То же самое с VPN я полагаю?
Я бы хотел, чтобы кто-нибудь, прослушивающий между клиентом и маршрутизатором, не видел, с каких веб-сайтов я делаю http-запросы.
Обычный сеанс SSL/TLS в браузере (т. Е. С использованием https) обычно устанавливает соединение клиента с рассматриваемым веб-сервером.
Таким образом, несмотря на то, что трафик не может быть прослушан, поскольку он зашифрован, можно увидеть, по крайней мере, IP-адрес назначения, и оттуда вы можете сделать вывод о соответствующем веб-сайте.
Если, с другой стороны, вы имеете в виду использование SSL в качестве VPN-транспорта к VPN-серверу, и исходящее соединение устанавливается с этого на веб-сервер, то прослушивание локального трафика покажет только зашифрованный трафик между вами и VPN-сервером, и поэтому отдельные http-запросы будут скрыты.
Другой аспект, который следует учитывать, - это куда отправляются запросы DNS. Если вы используете незашифрованный путь к DNS-серверам для разрешения www.verysecretsite.com перед отправкой http-запроса на этот сайт через VPN, тогда сниффинг DNS покажет, куда вы заходите.
Они смогут увидеть, к какому IP-адресу относятся запросы. Они не смогут прочитать заголовок Host в запросе. Поэтому они не могут привязать его к конкретному веб-сайту, который вы просматриваете, только к тому серверу, на котором он находится (более или менее).
Они смогут увидеть, какой IP-адрес вы запрашиваете (это не обязательно приведет к возвращению запрошенного имени хоста), а также сертификат сервера, отправленный сервером во время процесса установления связи. Сертификат сервера отображается в открытом виде во время рукопожатия (это шаг, необходимый для установления зашифрованного канала, который происходит непосредственно перед тем, как шифрование вступит в силу).
Сертификат сервера будет содержать имя хоста, поэтому оно будет видно. В некоторых случаях сертификат может содержать несколько записей альтернативного имени субъекта (SAN) (или записи с подстановочными знаками (например, *.example.com), что означает, что он будет действителен для нескольких имен хостов: это может быть немного неоднозначным для перехватчика, но это дает довольно сильную подсказку.
(Как сказал @Paul, DNS мог бы также дать подсказку. Если вы заранее знаете, какие сайты вы хотите посетить, вы можете предотвратить запрос, закрепив записи DNS в файле hosts .)
Современные клиенты, которые поддерживают указание имени сервера, также сообщают имя хоста, за которым они следуют, в расширении server_name в сообщении TLS ClientHello .
