HTTPS加密后营运商只能看见 ip和端口？

小旭

有域名白名单 根本就不用识别

silence

请求的域名不会加密，你自己抓包看看就知道了

chuanchuanlak

普通的https不加密域名,

你需要专门配置ESNI类型的https可以加密域名(这个还需要专门的DNS服务器, 在解析IP的同时它返回证书sni)

kivim

博客 发表于 2021-2-22 17:05
我居然没抓出域名。。

域名在第一步dns解析里面解析成ip地址了，后面都是ip数据流了。

chuanchuanlak

博客 发表于 2021-2-22 17:03
知乎上看居然有人说 头信息全加密了，不知道域名。。

cookie, url后面的路径、参数 这些确实是加密的,  但是域名不加密, 因为普通的https浏览器访问时带上域名, 网站服务器才知道域名是啥才能给浏览器返回该域名对应的加密公钥, 浏览器得到该域名对应的https证书公钥后, 再进行下一步加密cookie、url参数 后发起正式访问


配置ESNI方式的https后可以做到加密域名, 需要专门的DNS服务器支持,  因为在解析域名IP时它的DNS服务器就会给浏览器返回该域名证书对应的SNI, 但是在请求DNS服务器获取解析IP的时候域名仍然是做不到加密的

hanada

博客 发表于 2021-2-22 17:03
知乎上看居然有人说 头信息全加密了，不知道域名。。

他说的是对的，头信息确实全加密了（包括请求方式、请求uri、header（里面有主机名）、body等http协议的一切信息）。问题就是，现在为了能在一个ip上建多个网站，使用了sni技术，也就是在访问的同时发送sni域名，服务器才能根据sni域名选择正确的证书文件来完成ssl握手，所以实际上现在能铭文看到的东西有三样，ip、端口、域名（ESNI技术可以通过和dns配合来加密sni，但是现在使用不普遍）