¿Qué URL se revela cuando se usa un comodín SSL?

0

Supongamos que hay dos servidores; server1.com tiene un certificado SSL estándar instalado y server2.com tiene un certificado SSL comodín (* .server2.com) instalado.

A continuación, suponga que hace del servidor 1 a través de la conexión SSL una llamada a la API a api2.server2.com ...

Si alguien escucha a escondidas la conexión, ¿qué URL del servidor2 vería el sniffer?

¿El sniffer vería server2.com o el subdominio que se llamó api2.server2.com ?

    
pregunta user1402897 03.11.2013 - 02:53
fuente

1 respuesta

2

La extensión Server Name Indation , ahora implementada por la mayoría de las bibliotecas SSL, implica que un sniffer vería el nombre api2.server2.com como parte del mensaje ClientHello sin cifrar del servidor1.

En cuanto al resto de la URL (la ruta en server2), se envía solo después del protocolo de enlace, por lo que no es visible para los sniffers (pero los sniffers pueden obtener una buena estimación de la ruta length , en caracteres).

    
respondido por el Tom Leek 03.11.2013 - 15:58
fuente

Lea otras preguntas en las etiquetas