Al usar HTTPS, ¿se puede ver el dominio de destino?

Puedes bloquear por IP y por nombre de dominio. Si el dominio usa direcciones IP diferentes y usted bloquea solo una IP, el sitio seguirá trabajando con las otras direcciones IP. Si bloquea el dominio y el sitio funciona al abrir la dirección IP en el navegador, también seguirá funcionando.

Puede bloquear nombres de dominio y direcciones IP por número de puerto. Por lo tanto, puede bloquear 443 y HTTPS está bloqueado para ese dominio, o IP, etc.

El enrutador puede ver el dominio cuando usa HTTPS, pero no la ruta y la consulta.

Si usa un navegador suficientemente reciente (en su mayoría no, es decir, en Windows XP), es probable que tenga soporte de SNI para permitir el alojamiento virtual de sitios HTTPS.

Esto significa que enviará el nombre de dominio sin encriptar para permitir que el servidor elija el certificado correcto. Dependiendo de lo que use para filtrar el tráfico, podría bloquear el tráfico HTTP y HTTPS a un dominio específico al poner en una lista negra los dominios. Sin embargo, tenga en cuenta que un usuario con un navegador que no admita SNI podría omitir este filtro dependiendo de su política para solicitudes sin SNI.

Si la IP (o IP) del sitio web no cambia, podría ser más fácil filtrar según la dirección IP (pero es probable que este no sea el caso para Google). El filtrado a nivel de IP basado en el nombre de dominio suele ser una mala idea ya que implica una búsqueda de DNS al principio (por ejemplo, iptables) que podría no terminar bloqueando todo el dominio o búsquedas de DNS inversas para cada nueva IP (sin siquiera una garantía de que el reverso coincidirá con lo que usted espera, por ejemplo, example.com podría apuntar a 203.0.113.1, que cuando se invierta podría apuntar a server1.example.com o incluso server1.CDN.com). Sin embargo, algunos sistemas pueden hacer esto en función de las solicitudes y respuestas de DNS interceptadas.