Al usar HTTPS, ¿se puede ver el dominio de destino?

3

Si voy a https://google.com/q=test_query desde mi navegador, ¿qué tráfico se puede ver en el enrutador?

¿Se puede ver el nombre de dominio (google.com)? Si es así, ¿puedo bloquear todo el tráfico a una página web al impedir el acceso a ese dominio? ¿Cambia algo si el sitio web tiene varias direcciones IP (servidores diferentes)?

¡Gracias!

    
pregunta user283776 28.05.2014 - 11:17
fuente

2 respuestas

2

Puedes bloquear por IP y por nombre de dominio. Si el dominio usa direcciones IP diferentes y usted bloquea solo una IP, el sitio seguirá trabajando con las otras direcciones IP. Si bloquea el dominio y el sitio funciona al abrir la dirección IP en el navegador, también seguirá funcionando.

Puede bloquear nombres de dominio y direcciones IP por número de puerto. Por lo tanto, puede bloquear 443 y HTTPS está bloqueado para ese dominio, o IP, etc.

El enrutador puede ver el dominio cuando usa HTTPS, pero no la ruta y la consulta.

    
respondido por el SPRBRN 28.05.2014 - 11:39
fuente
1

Si usa un navegador suficientemente reciente (en su mayoría no, es decir, en Windows XP), es probable que tenga soporte de SNI para permitir el alojamiento virtual de sitios HTTPS.

Esto significa que enviará el nombre de dominio sin encriptar para permitir que el servidor elija el certificado correcto. Dependiendo de lo que use para filtrar el tráfico, podría bloquear el tráfico HTTP y HTTPS a un dominio específico al poner en una lista negra los dominios. Sin embargo, tenga en cuenta que un usuario con un navegador que no admita SNI podría omitir este filtro dependiendo de su política para solicitudes sin SNI.

Si la IP (o IP) del sitio web no cambia, podría ser más fácil filtrar según la dirección IP (pero es probable que este no sea el caso para Google). El filtrado a nivel de IP basado en el nombre de dominio suele ser una mala idea ya que implica una búsqueda de DNS al principio (por ejemplo, iptables) que podría no terminar bloqueando todo el dominio o búsquedas de DNS inversas para cada nueva IP (sin siquiera una garantía de que el reverso coincidirá con lo que usted espera, por ejemplo, example.com podría apuntar a 203.0.113.1, que cuando se invierta podría apuntar a server1.example.com o incluso server1.CDN.com). Sin embargo, algunos sistemas pueden hacer esto en función de las solicitudes y respuestas de DNS interceptadas.

    
respondido por el user2313067 28.05.2014 - 12:22
fuente

Lea otras preguntas en las etiquetas