Если я посещаю URL-адрес https скажите https://www.youtube.com/watch?v=7HKoqNJtMTQ . Что именно увидит мой провайдер?
2 ответа
10
Вы всегда можете установить Wireshark и посмотреть, что выходит из вашего сетевого интерфейса с выходом в Интернет.
Этот пост переполнения стека дает вам конкретные детали. Хост назначения, к которому вы подключаетесь, будет известен как часть сертификата, участвующего в настройке SSL. Это часть www.youtube.com в URL. Остальная часть определенного URL-адреса не видна вашему провайдеру, но если вы используете DNS-серверы вашего провайдера, ваш провайдер сможет узнать, что вы хотя бы сделали DNS-запрос на этот сайт. Поиск DNS нельзя отследить до определенного URL, но имейте в виду, что некоторые сайты размещают разные типы контента на разных серверах (например, Bing размещает весь явный контент в своем собственном домене), и это может вас заразить. Если возможно, используйте DNS не-ISP, такой как OpenDNS.
Предполагается, что вы убедились, что сертификат, представленный сервером, является тем, который вы ожидаете. SSL-прокси (т. Е. "Человек посередине") возможны, но они заменят другой сертификат, который вы должны проверить, особенно если замещенный сертификат является частью множества "доверенных корневых сертификатов", распознаваемых большинство браузеров.
1
групповая атака
Если ssl-сертификат сайта назначения скомпрометирован, например, подстановочным сертификатом, принадлежащим третьей стороне, конфиденциальность может быть нарушена на пути к стороне назначения. (например, см. эту статью)
случай использования компании
Если ваш провайдер является вашей компанией, весь ваш трафик может стать видимым для компании.
Подумайте о настройке, там дополнительный корневой сертификат, принадлежащий компании, развернут в хранилище ключей браузера. Используя этот сертификат, описанная атака легко возможна.
В этом случае для взлома вашего зашифрованного соединения можно использовать обратный прокси-сервер с поддержкой ssl, например squid.
В некоторых случаях это допустимая настройка, поскольку она позволяет использовать системы безопасности (например, сканер вредоносных программ) также для зашифрованного SSL-трафика.
Использование такой настройки зависит от правовых ограничений в конкретном округе. В Германии "Betriebsrat" (представители работников) должны признать это.