Question Comment ISP voit le trafic HTTPS? [dupliquer]


Cette question a déjà une réponse ici:

Si je visite un https url dire https://www.youtube.com/watch?v=7HKoqNJtMTQ. Qu'est-ce que mon fournisseur d'accès verra exactement?


7
2018-03-10 22:33


origine




Réponses:


Vous pouvez toujours installer Wireshark et voyez ce qui sort de votre interface réseau Internet pour vous-même.

Ce débordement de pile post vous donne des détails spécifiques. L'hôte de destination auquel vous vous connectez sera connu, car il fait partie du certificat impliqué dans la configuration SSL. C'est la partie "www.youtube.com" de l'URL. Le reste de l'URL spécifique n'est pas visible par votre fournisseur de services Internet, mais si vous utilisez les serveurs DNS de votre fournisseur de services Internet, votre fournisseur de services Internet pourra savoir que vous avez au moins effectué une recherche DNS sur ce site. Une recherche DNS ne peut pas être retracée vers une URL spécifique, mais gardez à l'esprit que certains sites placent différents types de contenu sur différents serveurs (tels que Bing met tout le contenu explicite sur son propre domaine) et cela pourrait vous impliquer. Si vous le pouvez, utilisez un DNS non-ISP tel que OpenDNS.

Cela suppose que vous avez vérifié que le certificat présenté par le serveur est celui que vous attendez. Les proxies SSL (c.-à-d. "Man-in-the-middle") sont possibles mais ils remplaceront un certificat différent - qui est sur vous pour vérifier, surtout si le certificat substitué fait partie de la pléthore de "certificats racines de confiance" reconnus par la plupart des navigateurs.


10
2018-03-10 22:46



merci pour la réponse, pourriez-vous expliquer "mais si vous utilisez les serveurs DNS de votre FAI, votre FAI sera en mesure de savoir que vous avez au moins effectué une recherche DNS sur ce site." - Esha Sharma
Chaque URL nécessite une recherche DNS pour traduire le nom de domaine en une adresse IP, c’est-à-dire si vous tapez superuser.com dans un navigateur, le navigateur doit traduire le "superuser.com" dans une adresse IP et il lance une recherche DNS pour le faire. Cela provoque une petite requête basée sur UDP pour accéder aux adresses IP répertoriées en tant que votre serveur DNS, qui peuvent vous être transmises via DHCP par votre fournisseur. Donc, si vous voulez faire confiance à votre FAI, évitez d’utiliser le serveur DNS de votre FAI. - LawrenceC
Comment savoir quel serveur DNS mon navigateur recherche? - Esha Sharma
De plus, même si j'utilise le serveur DNS du fournisseur de services Internet, ils ne connaîtront que l'hôte de destination et non l'URL complète. correct ? - Esha Sharma
Votre navigateur utilise n'importe quel serveur DNS sur lequel votre adaptateur réseau est défini (Windows) ou autre dans /etc/resolv.conf (Linux et peut-être OS X). Et oui, ils ne connaîtront que l'hôte de destination pas l'URL complète. - LawrenceC


attaque générique

Si le certificat SSL du site de destination est compromis, par exemple par un certificat générique appartenant à une tierce partie, la confidentialité peut être compromise sur le chemin de la destination. (par exemple, voir Cet article)

cas d'utilisation de l'entreprise

Si votre FAI est votre entreprise, tout votre trafic peut devenir visible pour l'entreprise.

Pensez à une configuration, un certificat racine supplémentaire appartenant à la société est déployé dans le magasin de clés du navigateur. En utilisant ce certificat, l'attaque décrite est facilement possible.

Dans ce cas, un proxy inversé compatible ssl tel que squid peut être utilisé pour pirater votre connexion chiffrée.
Ceci est dans certaines circonstances une configuration valide, car elle permet l'utilisation de systèmes de sécurité (par exemple, un scanner de logiciels malveillants) pour le trafic crypté en SSL.
L'utilisation d'une telle configuration dépend de la restriction légale dans le comté spécifique. En Allemagne, le "Betriebsrat" (représentants des employés) doit le reconnaître.


1
2018-03-10 23:01