Kina počela da blokira HTTPS v1.3 sa ESNI-jem

Vest, zdnet

U TLS protokolu postoji SNI polje, Server Name Indication. U slučaju browsera tu piše domen sajta koji posećujemo, uvek i nešifrovan. Tako da i ako koristite DoH(DNS over HTTPS) dzaba jer domen i dalje pise SNI polju koje svako može da čita. Ovaj problem rešava ESNI (Encrypted SNI) koji radi u verziju 1.3 TLS-a i to je Kina počela da blokira od skoro.

3 Likes

Ko hoce da se igra sa prethodnim verzijama, evo filtera koji lepo radi (ukraden sa so):

tshark -p -Tfields -e ssl.handshake.extensions_server_name  -Y 'ssl.handshake.extension.type == "server_name"'

Pokrenuo sam ga na mom vpn serveru, okacio se sa telefona na vpn i za 2 minuta pokupio gomilu domena (mahom api endpointa) iz aplikacija koje koristim.

Nisu preterano upotrebljivi podaci ali lepa je ilustracija sta sve moze neko usput da pokupi bez obzira na https i bez invazivnog mitm snifovanja.

2 Likes

jako fin oneliner :smiley: