먼저, 영어 실력이 유감입니다. 나는 아직도 그것을 배우고있다. 여기 간다:
IP 주소별로 단일 웹 사이트를 호스트하면 “순수한”SSL (SNI없이)을 사용할 수 있으며 사용자가 검색하려는 호스트 이름과 경로를 알려주기 전에 키 교환이 발생합니다. 키 교환 후 모든 데이터를 안전하게 교환 할 수 있습니다. 즉, 누군가 네트워크를 스니핑하는 경우 기밀 정보가 유출되지 않습니다 * (각주 참조).
반면에, IP 주소 당 여러 개의 웹 사이트를 호스팅하는 경우 SNI를 사용하게되므로 웹 사이트 방문자가 올바른 호스트 이름을 제공하기 전에 대상 호스트 이름을 알려 주어야합니다. 이 경우 네트워크를 스니핑하는 사람은 액세스중인 모든 웹 사이트 도메인을 추적 할 수 있습니다.
내 가정에 오류가 있습니까? 그렇지 않은 경우 사용자가 암호화 된 DNS를 사용한다고 가정 할 때 개인 정보 보호 문제를 나타내지 않습니까?
각주 : 스나이퍼가 IP 주소에서 역방향 조회를 수행하여 방문한 웹 사이트를 찾을 수 있음을 알고 있지만 네트워크 케이블을 통해 일반 텍스트로 이동하는 호스트 이름은 검열 기관에서 키워드 기반 도메인 차단을보다 쉽게하는 것으로 보입니다.
답변
분석이 잘못되었습니다. SNI를 사용하지 않는 것보다 더 안전합니다.
SNI가 없으면 IP 주소는 호스트를 고유하게 식별합니다. 따라서 IP 주소를 결정할 수있는 사람은 누구나 호스트를 결정할 수 있습니다.
SNI를 사용하면 IP 주소가 호스트를 고유하게 식별하지 않습니다. 정확한 호스트를 결정하려면 누군가가 실제로 일부 트래픽을 가로 채서 확인해야합니다. IP 주소를 얻는 것보다 더 어렵습니다.
따라서 SNI를 사용하지 않는 것보다 (약간) 더 안전합니다.
패킷 데이터의 침입 분석을 기반으로 차단하려는 사람은 IP 주소를 기반으로 차단할 것입니다. 그들은 SNI의 유무에 관계없이 IP 주소를 기반으로 “나쁜 것들”을 차단합니다.
그러나 귀하의 질문에 대한 답변은 “예”입니다. SNI는 개인 정보 보호 문제를 나타냅니다. SNI를 사용하면 트래픽을 가로 챌 수있는 사람이 IP 주소 외에 호스트 이름을 얻습니다.
답변
당신 말이 맞아 SNI는 방문자의 주요 개인 정보 보호 문제이며 방문자가 ISP와 다른 수동 청취자와 연결하는 정확한 웹 사이트를 노출시킵니다. 그러나 DNS도 마찬가지입니다 … 잘 … 익숙해졌습니다 : 구글이 이것을 고치고 있습니다 :-
https://thehackernews.com/2017/10/android-dns-over-tls.html
IP 주소를 아는 것은 적극적으로 나가서 스스로를 보지 않는 한 해당 IP 주소에 어떤 웹 사이트가 있는지 ISP에 알리지 않습니다. 이는 고객 패킷을 수동으로 스니핑하는 것과는 매우 다릅니다.