The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике

25.09.2018 08:29

Компания Cloudflare сообщила о реализации в своей сети доставки контента поддержки TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.

До сих пор для организации работы на одном IP-адресе нескольких HTTPS-сайтов применялось расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера или владельца точки беспроводного доступа выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.

ESNI устраняет этот недостаток и полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ESNI даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса. Системы инспектирования трафика будут видеть только обращения к CDN и не смогут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата. Возможным каналом утечки остаётся DNS, но для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS или DNS-over-TLS.

На стороне клиента экспериментальная поддержка ESNI реализована в ночных сборках Firefox, а также в библиотеках BoringSSL (используется в Chromium), NSS (используется в Firefox) и picotls (используется в http-сервере h2o). При использовании ESNI имя хоста как и в SNI передаётся в сообщении ClientHello, но содержимое поля server_name зашифровано. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу.



  1. Главная ссылка к новости (https://www.eff.org/deeplinks/...)
  2. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
  3. OpenNews: Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS-сайтов
  4. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
  5. OpenNews: Mozilla тестирует DNS поверх HTTPS и применение GPU для отрисовки
  6. OpenNews: Опубликован RFC для TLS 1.3
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: esni, https, tls, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (88) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:50, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Скрываясь от одних сливаем всё другим
    )
     
     
  • 2.8, Аноним (-), 10:09, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    1. Кому же тут сливать стали, дружок? Кто не хотел пользоваться CF, тот так и продолжит. ESNI никак на них не завязано. Арендуй сервер на любом облаке или хостинге, запиливай поддержку и никаким человекам посередине, вроде CF, не сливай ничего. А тот, кто сливал, прекрасно делал это и без ESNI. То же самое с dns-over-something. Раньше хомяки сливали запросы и гуглу, и всем по дороге. Сейчас будут сливать cloudflare/google, но никому по дороге. Стало хуже? Нет. Стало лучше? Да.
    2. И что же плохого в том, чтобы слить кому-то вместо тебя, товарищ майор?
     
     
  • 3.12, нах (?), 10:21, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кто не хотел пользоваться CF, тот так и продолжит кто тебя спрашивать-то будет... текст свёрнут, показать
     
     
  • 4.44, Аноним (-), 14:25, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты с позиции юзера что ли смотришь Так в чём проблема тогда Не ходи на такие... текст свёрнут, показать
     
     
  • 5.53, нах (?), 14:41, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ну да, у меня-то мой сайтик откроется и без sni, у меня ip шники дешевые, могу... текст свёрнут, показать
     
     
  • 6.70, Гентушник (ok), 15:50, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > > Её браузер посылает, в самом первом ClientHello, даже если ты один
    > вот эту функциональность ... и надо было удалить

    Если на айпишнике крутится один сайт, то я честно говоря не вижу принципиальной разницы - посылать имя домена в ClientHello открыто, зашифровано или не посылать вообще.

    Ведь если на определённом айпишнике крутится только один сайт, то найти по этому айпи доменное имя для товарища майора не составит особого труда. Нужна лишь база со всеми доменными именами (хотя бы второго уровня) + IP.
    Тут даже проще получается, не надо ковырять TLS-протокол, достаточно данных из TCP/IP.

     
     
  • 7.73, нах (?), 16:02, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вообще-то разница есть - товарищмайор может и вовсе не увидеть, что там - поскол... текст свёрнут, показать
     
  • 6.74, Аноним (74), 16:13, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "(ну или нажать галочку "да, я _точно_ знаю чей это сертификат, дура, от...сь")."
    Вы наверное и в интернет-банке такое нажмете.
     
     
  • 7.75, нах (?), 16:19, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > "(ну или нажать галочку "да, я _точно_ знаю чей это сертификат, дура,
    > от...сь")."
    > Вы наверное и в интернет-банке такое нажмете.

    мальчик, ты совсем дурачок? Твой интернет-банк давно за клаудфларью, и тебе даже галочку нажать не предлагают - просто верь, и не думай, головку перетрудишь - авторы единственно-верного браузера уже за тебя позаботились о твоей безопасТности.

     
     
  • 8.94, Аноним (94), 08:00, 26/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    host i bspb ru i bspb ru has address 213 172 3 230 whois 213 172 3 230 role ... текст свёрнут, показать
     
  • 6.77, Аноним (-), 16:38, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лол, ты вообще не понимаешь, о чём говоришь Про модель OSI слышал Что такое ht... текст свёрнут, показать
     
     
  • 7.80, нах (?), 17:06, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    малыш, я, видишь ли, не то что слышал про любимую тобой модель osi, но и знаю,... текст свёрнут, показать
     
  • 3.50, dimqua (ok), 14:33, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Кто не хотел пользоваться CF, тот так и продолжит.

    Попробуй отказаться от использования _всех_ сайтов, использующих Cloudflare, а потом говори.

     
  • 2.100, metakeks (?), 20:49, 26/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Минутку. Я правильно понимаю, что на роутере станет крайне осложнительно блокировать рекламу?
     
  • 2.103, Аноним (-), 03:09, 27/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Скрываясь от одних сливаем всё другим

    Не мы такие, жизнь такая. ISP пытающиеся работать в стиле агентов похоронных агенств, когда человека еще только живого в скорую положили, а у родственников под дверью уже очередь предлагающих похоронные услуги - сами понимаете, их всех очень хочется взять и уе...

     

  • 1.2, Аноним (2), 08:51, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Отлично. Потому что ESNI-запись в DNS может опубликовать каждый для собственных серверов, а поддержка в софте теперь появится очень быстро.
     
  • 1.3, Аноним (3), 08:55, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Все. Сидишь на cloudfare - в России недоступен.
     
     
  • 2.15, Аноним (15), 10:24, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Невелика потеря
     
  • 2.64, имя (?), 15:28, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сайты отключают эту централизованную службу слежки и децентрализованный интернет снова.
     
     
  • 3.106, Аноним (-), 03:27, 27/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Сайты отключают эту централизованную службу слежки и децентрализованный интернет снова.

    А столица в Васюки уже переехала? Сайты сразу после этого самого обещались.

     
  • 2.105, Аноним (-), 03:26, 27/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Все. Сидишь на cloudfare - в России недоступен.

    И кого это будет колыхать? Спутник и кремлинру? Россияне нищая и жадная аудитория - будешь кремлин читать, ну и хватит с тебя. Таким как ты ничего слаще первого канала не положено.

     

  • 1.4, Аноним (4), 09:10, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    В Роскомнадзоре радостно потирают руки, ведь теперь есть повод заблокировать большую часть Интернета.
     
     
  • 2.5, Аноним (-), 09:54, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Будто раньше они этого избегали. https://roskomsvoboda.org/13108/
    > 34% из всех IP-адресов, находящихся в реестрах запрещенных сайтов принадлежат именно CloudFlare.

    Не говоря уже об эпопее с телеграмом, амазоном и другими облаками. Товарищ, не надо сказкок про то, что будет хуже. Механизм блокировок изначально идиотский.

     
     
  • 3.11, Michael Shigorin (ok), 10:21, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –10 +/
    > Механизм блокировок изначально идиотский.

    В смысле надо как в Китае или сразу как в Штатах? (см. случай Алекса Джонса или того же Ассанжа)

     
     
  • 4.13, нах (?), 10:23, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Джонсу запретили дежрать собственный никому ненужный сервер? Или может заблокировали роспозором?

    А, нет - он занимался на чужих серверах пропагандой против владельцев этих серверов. Миша, ты уже выпилился из модераторов, я надеюсь?

     
     
  • 5.29, Michael Shigorin (ok), 12:42, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –7 +/
    > А, нет - он занимался на чужих серверах пропагандой против владельцев этих
    > серверов. Миша, ты уже выпилился из модераторов, я надеюсь?

    Стоп, демократия же, glasnost', не?  А у нас тирания и деспотия (ц) весьмир(tm), не дождётесь.

    PS: для безальтернативно бездарного автора безвременно почившего #68: "а у нас..."

     
     
  • 6.32, Аноним (32), 12:49, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так это, почему тогда Джонс продолжает вещать, пусть и с других ресурсов, а, например, Стомахин сидит?
     
     
  • 7.38, Michael Shigorin (ok), 13:10, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –7 +/
    > Так это, почему тогда Джонс продолжает вещать, пусть и с других ресурсов,
    > а, например, Стомахин сидит?

    Это тот медиапособник басаевских анижедетей?  Тогда каков вопрос, таков и ответ.

    Потому что антисемит -- призывы вида "еврейство России должно взяться за оружие" уже проходили в 1905, получили повсеместные погромы.

    Я даже не знаю, что бы с ним стало в штатах по аналогичной траектории -- возможно, тихо бы исчез, как немало участников Occupy Wall Street -- но такое убил бы своими руками и спал спокойно, вымыв их с мылом.

    PS: если кто удивится -- почитайте про казус Штрейхера, что ли.

     
     
  • 8.39, Аноним (32), 13:20, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кто конкретно исчез ... текст свёрнут, показать
     
     
  • 9.42, Michael Shigorin (ok), 14:17, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Сейчас в разумное время не нашёл по припоминавшимся ключевым словам, мой косяк ... текст свёрнут, показать
     
     
  • 10.59, Аноним (32), 15:06, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот как начнут сажать тысячами, как на недавних митингах, тогда и приходите Вот... текст свёрнут, показать
     
     
  • 11.63, Michael Shigorin (ok), 15:22, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы ещё квоту на убивать до десяти тысяч штатовская украм, 2014 предложите кр... текст свёрнут, показать
     
     
  • 12.104, Аноним (-), 03:23, 27/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А вы хотели чтобы в большом государстве с миллионами народа полиция бы вообще ни... текст свёрнут, показать
     
  • 4.24, vitalif (ok), 11:17, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И как же в штатах?
     
  • 4.31, Аноним (32), 12:48, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На Джонса подали в суд за оскорбление чувств гей-лягушек?
     
     
  • 5.36, Andrey Mitrofanov (?), 13:06, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > На Джонса подали в суд за оскорбление чувств гей-лягушек?

    Википедию почитать за тебя?

    "Нестабильный" борец с заговорами, религиями и иммигрантками, которого за "hate speech" _исключили_ из _инклюзивного_ "сообщества PayPal" и попёрли со всех и всяких тамошних вконтактиков.

    Миша старательно подбирал... себе компанию?

     
     
  • 6.37, Аноним (32), 13:09, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Тут усиленно пытаются внушить, что там тоже что у нас. А, оказывается, что Джонс не только не сидит по 282, но его сайт даже не заблокирован американским Роскомнадзором.
     
     
  • 7.56, нах (?), 14:48, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут усиленно пытаются внушить, что там тоже что у нас. А, оказывается,
    > что Джонс не только не сидит по 282, но его сайт
    > даже не заблокирован американским Роскомнадзором.

    я и говорю - безобразие полное. Сделали на своих сайтах ровно то же самое, чем Михаил занимается на опеннете, причем такие же местные михаилы, которым даже не за державу, а за банального гугля обидно, отнюдь не NSA с FBI, которым почему-то не пришло в голову ни посадить автора за неправильные лайки, ни хотя бы его зобанить тотально, как у нас принято. Куда только г-н майор смотрит?

    Причем его заявы были далеко не безобидными и, мягко говоря, не особенно-то умными.

     
     
  • 8.62, Michael Shigorin (ok), 15:20, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А чё там у них бывает за libel and diffamation, кстати за них не скажу, так ... текст свёрнут, показать
     
     
  • 9.72, нах (?), 15:54, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    пока конкретный гугл не подаст в суд и не выиграет дело - ничего А если ты зять... текст свёрнут, показать
     
  • 9.107, Аноним (-), 03:38, 27/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Бывает, бывает И как ни странно это несколько охлаждает горячие головы А то не... текст свёрнут, показать
     
  • 2.6, Аноним (6), 09:54, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да не в РКН, им - по барабану, лишь-бы блокировало.
    В фильтрах DPI теперь Cloudflare-овские ресурсы будут банить по IP.
     
     
  • 3.7, anomymous (?), 09:57, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да никаких проблем. Просто положат остатки бизнеса. А так - кому надо, расчехлят VPN, благо он теперь и в браузерах.
     
     
  • 4.18, Аноним (6), 10:36, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Просто положат остатки бизнеса.

    Завязанного на клоудфлару? Туда ему и дорога.

    Как, впрочем, и всему теперешнему Гуглонету. Даешь идеи Бернерс-Ли про децентрализованный интернет в жизнь!

     
     
  • 5.19, товарищ майор наркоконтроля (?), 10:49, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Даешь идеи Бернерс-Ли про децентрализованный интернет в жизнь!

    и все децентрализованные сервера - в РФ (для большей защиты ваших персональных данных), и паспорт каждого владельца куда надо предоставлен, а загран - желательно еще и сдан на хранение в первый отдел (тоже чтоб надежнее хранился, вы  не подумайте чего). Ну и паспорта всех пользователей тоже, разумеется.

    Эх, вот это прихооооод!

     
  • 2.9, Нанобот (ok), 10:17, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Достаточно заблокировать днс-запросы вида _esni.* и браузер не сможет использовать esni. Дальше можно блокировать старыми методами.
     
     
  • 3.14, нах (?), 10:24, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ну еще придется заблокировать идиотский dns-over-prism, и, вероятно, dnssec (впрочем, это должно быть несложно)

    но в целом идея выглядит работоспособной.

     
  • 3.16, Аноним (6), 10:30, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    DNSSEC? Не, не слышали.
     
     
  • 4.117, Аноним (117), 00:33, 30/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    DNSSEC не шифрует, только аутентифицирует.
     
  • 3.21, Аноним (21), 10:57, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Достаточно заблокировать днс-запросы вида _esni.*

    DNS_over_TLS

     
  • 3.90, Аноним (2), 22:04, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это счастье временно, ровно до того момента когда браузеры не научатся форсировать ESNI по умолчанию и сообщать о несекурности сайта, если в TLS ESNI заявлена, а в DNS не опубликована.
     
     
  • 4.93, Аноним (4), 00:12, 26/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    проблемы браузеров и их пользователей РКН не волнуют. <Придёт приказ - и https заблокируют.
     
  • 3.91, Аноним (2), 22:05, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Достаточно заблокировать днс-запросы вида _esni.* и браузер не сможет использовать esni.

    Это счастье временно - ровно до того момента, когда браузеры начнут видеть в TLS поддержку ESNI, и сообщать о несекурности / рвать коннект, если ESNI есть, а доменной записи нет.

     

  • 1.23, th3m3 (ok), 11:08, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хороший сервис. Роскомнадзор позабанил кучу подсетей DigitalOcean, а с помощью CloudFlare - все сервисы продолжают быть доступными в РФ/СНГ, без переезда на другие сервера. Но тут тоже как повезёт, часть IP CloudFlare, тоже есть в бане.
     
     
  • 2.55, dimqua (ok), 14:45, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    С помощью MITM от CloudFlare. :-)
     
     
  • 3.88, root (??), 19:55, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Самое забавное, пользователь видит https и думает что всё зашифрованно, а помимо Cloudflare трафик видит кулхацкер между сайтом и Cloudflare потому что "А зачем мне https, Cloudflare это сделает за меня" и получаем что сайт к Cloudflare идёт по http, а твои кредитные карты и пароли доступны всем.
     
     
  • 4.96, 1 (??), 09:05, 26/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >кредитные карты

    А как же PCI DSS?

     

  • 1.26, Аноним (26), 11:43, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    CloudFlare must die.
    Каждые день по полтора часа тратить на тыканье в _гугловскую_ капчу "найди знаки/автомобили/людей/нарушения/подозреваемых/неповиновение". Гугл, видать, нехило башляет КФ за выставление такой капчи на главной - это же столько народу можно к делу подключить!
     
     
  • 2.52, robot228 (?), 14:36, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, гугл нейронку тестит, кф ему помогает. У нас такие сайты на работе и у меня дома тупо недоступны. Отрубил к ним доступ.
     
  • 2.57, нах (?), 14:50, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > CloudFlare must die.
    > Каждые день по полтора часа тратить на тыканье в _гугловскую_ капчу "найди

    а, да, еще ж гугл не в курсе, на какой сайт ты по шифрованному sni зашел, точно!
    ;-)

    > столько глупых пользователей тора можно к делу подключить!

    поправил, не благодари ;-)


     
  • 2.102, metakeks (?), 20:54, 26/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Категорически плюсую. У нас билайн на дешёвых тарифах такие ип-адреса выдаёт, что ощущение, что их раньше даркнету выдавали. В общем проще было сменить провайдера, чем вколачивать капчу. Ибо даже google.ru слал подальше либо так же капчу требовал. С проверки, скажем, 5-й - вроде как пускало.
     
     
  • 3.111, Аноним (-), 18:17, 27/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В даркнете нет IP адресации.
     
  • 3.116, Аноним (116), 22:45, 28/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Та же проблема у домашнего Киевстара (украинский провайдер), при чём независимо от города и области предоставления услуги, но только у FTTB (т.е. на ADSL, как ни странно, всё хорошо).
     

  • 1.27, Аноним (27), 11:45, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ждем веерных блокировок от роскомнадзора /10 масками
     
     
  • 2.54, dimqua (ok), 14:42, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Блокировок Cloudflare /10 масками?
     

  • 1.28, Аноним (28), 12:30, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А с прокси корпоративными проблем не возникнет? Особенно там, где ssl-bump включен?
     
     
  • 2.92, Аноним (2), 22:06, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А с прокси корпоративными проблем не возникнет? Особенно там, где ssl-bump включен?

    Возникнет, и поделом.

     
     
  • 3.95, Аноним (95), 08:37, 26/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> А с прокси корпоративными проблем не возникнет? Особенно там, где ssl-bump включен?
    > Возникнет, и поделом.

    "Каакиэ ваши даказатэлства?!"
    С чего им там возникать? Точно также клиент передаст запрос к серверу, который попадет на прокси, прокси вернет клиенту _свой_ сертификат (у клиента, он, естессно, должен быть в trusted), а потом прокси установит связь с сервером, используя данные из запроса клиента так, словно это непосредственно клиент туда стучится. Короче - для юзеров за прокси ничего не изменится, пока, во всяком случае.

     
     
  • 4.99, Аноним (28), 13:31, 26/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо
     
  • 2.108, Аноним (-), 03:40, 27/09/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Особенно там, где ssl-bump включен?

    Да вы охренели - хотели заниматься хакерствои и чтобы это еще и удобно было.

     
     
  • 3.109, Аноним (109), 05:16, 27/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У вас паранойя, вам за каждым кустом майор мерещится. Во многих конторах squid на вполне законных основаниях крутится, ssl-bump нужен, чтобы редиректы deny_info на прокси нормально отрабатывали. Куда вы ходите и на что онанируете по большому счету там никому не интересно...
     
  • 3.110, Аноним (28), 07:02, 27/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы себе наверно не можете представить такого, но есть на просторах нашей родины такие места, где до сих пор только adsl доступ не выше 8 мегабит за овердофигарублей. И вот там заглядывание в установленные соединения помогает экономить реальные рубли и мегабайты. Потому что вместо утекших 10-20Мб в невнятное tcp/tunnel 200 сразу видим - так, это вот целевой сайт, это его картинки - они у нас в кеше, а вот эта cdn и эти ad.<бла-бла-бла> - это реклама, и режем ее нафиг сразу, и вместо 20 метров мусора за сеанс получаем 2-3 мегабайта полезной нагрузки.
    Хакерство, конечно... Больше думать не о чем.
     

  • 1.33, Аноним (33), 12:50, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Призмы, майоры, роскомпозоры. Слишком с местечковой повестки на все это дело по шифровке от провайдеров смотрите. Не делиться рыночком рекламы с датамайнингом, кто phorm помнит тот поймет.
     
     
  • 2.48, Аноним (48), 14:30, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    для фермера здоровый скот - больше прибыль.
     

  • 1.35, Аноним (35), 13:01, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Очень, очень хорошо, что свежие стандарты пушат не только криптофрики-любители, но и большие компании.

    Кстати, свежий TLS 1.3 в DoT они тоже включили?
    А то с приходом openssl 1.1.1 перестали нормально работать их днс, а теперь вроде обратно все бегает и в unbound, и в stubby.
    Вот на такое жаловались: https://github.com/getdnsapi/stubby/issues/132

     
  • 1.43, Аноним (-), 14:24, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Больше шифрования - хорошего и разного!
     
  • 1.45, Тихон (?), 14:26, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Вчера отличная статья на хабре вышла, нечегоскрывателям рекомендую в качестве настолькой книги. ;-)

    https://habr.com/post/423947/

     
     
  • 2.49, robot228 (?), 14:32, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дополню https://searchengines.guru/showthread.php?t=985441 пускай и не совсем в тему.
     
  • 2.58, нах (?), 14:55, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > https://habr.com/post/423947/

    забавно. Оказывается, т-щ майор-то приторговывает налево - зарплату, что-ли, ему маленькую платят?

     
     
  • 3.60, Майор (??), 15:09, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дача уже есть. На яхту нехватает...
     
     
  • 4.69, нах (?), 15:48, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    на пятую, товарищ майор? Или уже седьмую? Оно понятно, за причал плати, команду корми, а обслуживание, а бункеровка... эх, действительно, какие уж там секреты, и так, копеечка к копеечке.
     
  • 3.112, Аноним (-), 21:16, 27/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Оказывается, т-щ майор-то приторговывает налево

    Так еще Карамзин все сказал... только в данном случае - оно еще и с последствиями, когда желающий вас натянуть может предварительно собрать досье круче Пинкертона с маргинальными затратами денег и сил.

     
     
  • 4.114, Michael Shigorin (ok), 21:21, 27/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Так еще Карамзин все сказал...

    Интересно, что он как тогдашний либерал сказал бы о нынешних либералах.

     

  • 1.51, robot228 (?), 14:34, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Где-то недавно читал о том что вот это DNS over что-то там у клоудфлара не секурно. Ответы приходят не шифрованными. Кажется на реддите/стаковерфлоу/wilderssecurity дискус был.
    Ещё есть хорошая статья на дамажелаб он клоудфларе.
     
  • 1.79, Maxim (??), 17:02, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какие веб сервера поддерживают ESNI на сегодня?
     
  • 1.101, metakeks (?), 20:50, 26/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я правильно понимаю, что блокировать рекламу на домашнем микротике в таком случае станет крайне затруднительно?
     
     
  • 2.113, Аноним (-), 21:18, 27/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я правильно понимаю, что блокировать рекламу на домашнем микротике в таком случае
    > станет крайне затруднительно?

    Блокировать ее в браузере не в пример результативнее. По великому множеству причин, но для этого надо немного понимать как работает веб.

     

  • 1.115, Аноним (115), 13:15, 28/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У кого-нить получилось подключиться к https://www.cloudflare.com/ssl/encrypted-sni/ и пройти положительно тест с ESNI?
    Последняя ночнушка мозилы, TLS 1.3 и ESNI в about:config включены, DNS сервер работает с DNSSEC.
    Первый тест желтый, второй и третий зелёные, четвёртый красный ((
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру