Pertama, saya minta maaf atas bahasa Inggris saya yang buruk. Saya masih mempelajarinya. Ini dia:
Ketika saya meng-host satu situs web per alamat IP, saya dapat menggunakan SSL "murni" (tanpa SNI), dan pertukaran kunci terjadi sebelum pengguna bahkan memberi tahu saya nama host dan jalur yang ingin diambilnya. Setelah pertukaran kunci, semua data dapat dipertukarkan dengan aman. Yang mengatakan, jika ada orang yang mengendus jaringan, tidak ada informasi rahasia yang bocor * (lihat catatan kaki).
Di sisi lain, jika saya meng-host beberapa situs web per alamat IP, saya mungkin akan menggunakan SNI, dan oleh karena itu pengunjung situs web saya perlu memberi tahu saya nama host target sebelum saya bisa memberinya sertifikat yang tepat. Dalam hal ini, seseorang yang mengendus jaringannya dapat melacak semua domain situs web yang ia akses.
Apakah ada kesalahan dalam asumsi saya? Jika tidak, bukankah ini merupakan masalah privasi, dengan asumsi pengguna juga menggunakan DNS terenkripsi?
Catatan Kaki: Saya juga menyadari bahwa sniffer dapat melakukan pencarian balik pada alamat IP dan mencari tahu situs web mana yang dikunjungi, tetapi nama host yang bepergian dalam plaintext melalui kabel jaringan tampaknya membuat pemblokiran domain berbasis kata kunci lebih mudah bagi otoritas sensor.
Jawaban:
Analisis Anda salah. Anda lebih aman dengan SNI daripada tanpa.
Tanpa SNI, alamat IP mengidentifikasi host secara unik. Dengan demikian siapa pun yang dapat menentukan alamat IP dapat menentukan host.
Dengan SNI, alamat IP tidak mengidentifikasi host secara unik. Seseorang harus benar-benar mencegat dan melihat beberapa lalu lintas untuk menentukan host yang tepat. Ini lebih sulit daripada hanya mendapatkan alamat IP.
Jadi Anda (sedikit) lebih aman dengan SNI daripada tanpa itu.
Siapa pun yang akan memblokir berdasarkan analisis data paket yang mengganggu juga akan memblokir berdasarkan alamat IP. Mereka akan memblokir "yang buruk" berdasarkan alamat IP dengan atau tanpa SNI.
Namun, jawaban untuk pertanyaan Anda adalah "ya". SNI memang mewakili masalah privasi. Dengan SNI, seseorang yang dapat mencegat lalu lintas tidak mendapatkan nama host selain alamat IP.
sumber
Kamu benar. SNI adalah masalah privasi utama bagi pengunjung Anda - itu memperlihatkan situs web yang tepat yang terhubung dengan pengunjung Anda ke ISP mereka dan pihak pendengar pasif lainnya. Tapi kemudian, begitu juga DNS ... yah ... dulu: google memperbaiki ini: -
https://thehackernews.com/2017/10/android-dns-over-tls.html
Mengetahui alamat IP TIDAK memberitahu ISP situs web apa yang ada di alamat IP itu, kecuali mereka secara aktif keluar dan melihat diri mereka sendiri, yang merupakan hal yang sangat berbeda dengan mengendus paket pelanggan secara pasif.
sumber