Ocultar SNI claro cuando se usa https

No es posible ocultar la información de SNI si el servidor requiere que sirva el certificado adecuado. Hubo discusión sobre el cifrado de esta información en TLS 1.3. Pero esta idea se abandonó ya que requeriría establecer una capa de cifrado adicional y, por lo tanto, agregar una sobrecarga adicional al establecimiento de la conexión. Aparte de eso, esta información podría filtrarse de todas formas debido a las búsquedas de DNS y, por supuesto, también a través del certificado que envía el servidor, que también está en claro. Por lo tanto, si desea proteger mejor su privacidad, necesita usar una capa de cifrado adicional, como una VPN.

Para más detalles vea también

• ¿Por qué incluyen las solicitudes HTTPS? ¿El nombre del host en texto claro?
• ¿Cómo puede HTTPS / SSL ocultar el sitio web de destino al que se está conectando?

  

¿Cómo puedo evitar que el otro extremo descubra qué sitio web estoy visitando en el servidor?

     

(Obviamente no utilizando VPN o proxies)

Has identificado el método principal.

Teóricamente, puede enviar un nombre de host como parte de SNI y otro diferente en el encabezado de host HTTP. Sin embargo, Apache al menos le impide hacer esto .

Es posible que pueda enviar la solicitud sin SNI.

Siempre y cuando el servidor de destino no tenga aplicaciones de red SSL (por ejemplo, un equilibrador de carga SSL no descifrado o un proxy inverso) que use SNI para redirigir las conexiones al servidor correcto, y el servidor tenga un único certificado SAN o comodín que cubre todos los servicios alojados allí, el servidor debe poder manejar solicitudes sin SNI.