Apakah SNI mewakili masalah privasi bagi pengunjung situs web saya?

10

Pertama, saya minta maaf atas bahasa Inggris saya yang buruk. Saya masih mempelajarinya. Ini dia:

Ketika saya meng-host satu situs web per alamat IP, saya dapat menggunakan SSL "murni" (tanpa SNI), dan pertukaran kunci terjadi sebelum pengguna bahkan memberi tahu saya nama host dan jalur yang ingin diambilnya. Setelah pertukaran kunci, semua data dapat dipertukarkan dengan aman. Yang mengatakan, jika ada orang yang mengendus jaringan, tidak ada informasi rahasia yang bocor * (lihat catatan kaki).

Di sisi lain, jika saya meng-host beberapa situs web per alamat IP, saya mungkin akan menggunakan SNI, dan oleh karena itu pengunjung situs web saya perlu memberi tahu saya nama host target sebelum saya bisa memberinya sertifikat yang tepat. Dalam hal ini, seseorang yang mengendus jaringannya dapat melacak semua domain situs web yang ia akses.

Apakah ada kesalahan dalam asumsi saya? Jika tidak, bukankah ini merupakan masalah privasi, dengan asumsi pengguna juga menggunakan DNS terenkripsi?

Catatan Kaki: Saya juga menyadari bahwa sniffer dapat melakukan pencarian balik pada alamat IP dan mencari tahu situs web mana yang dikunjungi, tetapi nama host yang bepergian dalam plaintext melalui kabel jaringan tampaknya membuat pemblokiran domain berbasis kata kunci lebih mudah bagi otoritas sensor.

pagliuca
sumber
Apa yang Anda maksud dengan "pemblokiran domain berbasis kata kunci"? Bagaimana Anda mencocokkan domain dengan kata kunci?
David Schwartz
Contoh: situs web dari wilayah tertentu (* .com.br); dari organisasi (* .google.com); * porno *; dll
pagliuca

Jawaban:

9

Analisis Anda salah. Anda lebih aman dengan SNI daripada tanpa.

Tanpa SNI, alamat IP mengidentifikasi host secara unik. Dengan demikian siapa pun yang dapat menentukan alamat IP dapat menentukan host.

Dengan SNI, alamat IP tidak mengidentifikasi host secara unik. Seseorang harus benar-benar mencegat dan melihat beberapa lalu lintas untuk menentukan host yang tepat. Ini lebih sulit daripada hanya mendapatkan alamat IP.

Jadi Anda (sedikit) lebih aman dengan SNI daripada tanpa itu.

Siapa pun yang akan memblokir berdasarkan analisis data paket yang mengganggu juga akan memblokir berdasarkan alamat IP. Mereka akan memblokir "yang buruk" berdasarkan alamat IP dengan atau tanpa SNI.

Namun, jawaban untuk pertanyaan Anda adalah "ya". SNI memang mewakili masalah privasi. Dengan SNI, seseorang yang dapat mencegat lalu lintas tidak mendapatkan nama host selain alamat IP.

David Schwartz
sumber
Terima kasih atas jawabannya. Jadi SNI akan lebih aman hanya jika penyerang mulai mengendus hanya setelah kunci dipertukarkan, apakah saya benar?
pagliuca
2
@pagliuca SSL sebenarnya tidak dirancang untuk menyembunyikan lawan bicara Anda, itu dirancang untuk menyembunyikan apa yang Anda katakan kepada mereka. Anda tidak akan mengalahkan filter web dengan menghindari mengirim SNI; mereka menyimpan basis data IP-ke-domain yang luas. Toh moot point, sebagai browser klien yang mendukung SNI akan selalu mengirim SNI terlepas dari apakah server Anda membutuhkannya.
Shane Madden
@ShaneMadden Menarik. Mengetahui hal itu, sekarang saya tidak punya alasan untuk tidak menggunakan SNI :), karena kemungkinan sebagian besar pengguna sudah memiliki browser yang mengekspos nama host jarak jauh dalam setiap permintaan HTTPS.
pagliuca
1
Jawaban ini salah. Jauh lebih mudah untuk mengendus secara pasif SNI (dan tahu pasti situs web apa yang diminta pengunjung), daripada secara aktif pergi ke alamat IP untuk menebak apa yang sedang dijelajahi pengguna (yang dengan wildcard mungkin memiliki banyak situs web di dalamnya, dan IP berubah dari waktu ke waktu juga, sementara data SNI yang dikumpulkan tetap akurat, dan perusakan privasi selalu akurat.).
cnd
@ cnd Anda tidak harus "secara aktif keluar ke alamat IP" sama sekali. Jika Anda bisa mengendus SNI secara pasif, Anda bisa mengendus alamat IP secara pasif. Entah itu di daftar situs Anda yang Anda tonton atau tidak. Dan tanpa SNI, alamat IP secara unik mengidentifikasi situs. Dengan SNI, tidak.
David Schwartz
0

Kamu benar. SNI adalah masalah privasi utama bagi pengunjung Anda - itu memperlihatkan situs web yang tepat yang terhubung dengan pengunjung Anda ke ISP mereka dan pihak pendengar pasif lainnya. Tapi kemudian, begitu juga DNS ... yah ... dulu: google memperbaiki ini: -

https://thehackernews.com/2017/10/android-dns-over-tls.html

Mengetahui alamat IP TIDAK memberitahu ISP situs web apa yang ada di alamat IP itu, kecuali mereka secara aktif keluar dan melihat diri mereka sendiri, yang merupakan hal yang sangat berbeda dengan mengendus paket pelanggan secara pasif.

cnd
sumber