TLS和网络中介
问题描述:
如果“TLS连接”(是一个正确的术语?)从端到端进行加密,这是否意味着几乎所有的网络中介都完全无法解释应用程序级别(从互联网协议套件的四层模型)数据正在传递?TLS和网络中介
TLS解密点(“TLS endpoint”)之后会有什么异常?
答
是的,没有中介可以确定数据的任何内容,只有URL地址,如果没有加密。
唯一需要注意的是没有MITM,这可以由客户锁定证书来缓解。固定证书意味着客户端验证提供的证书不仅是有效的,而且来自期望的服务器。
答
完全无法解释应用程序级..
这主要是但不完全正确的。启动TLS连接所需的TLS握手包含纯文本证书,并且在使用TLS SNI扩展(当前所有浏览器都这样做)时,它还包含纯文本的目标主机名。除了这些明显的信息之外,还可以使用密码和扩展等TLS握手的几个特征来检测客户端可能使用的浏览器和操作系统。
此外,由于来自较低层的加密信息(如数据包大小和时间)可用于对加密连接的内容进行有根据的猜测,因此无法看到实际内容,如TCP/IP headers leak info about what you're watching on Netflix中所述。
而且,尽管TLS在理论上是端到端加密的(从客户端到服务器),但实际上,防火墙或防病毒软件在中间代理中用作可信任人员来分析流量并且连接实际上是客户端到代理加密,然后再次代理到服务器。
谢谢。固定意味着什么?据推测,在TLS端点之后,通常存在像代理那样的网络基础结构,这意味着可以发生数据报解释,但是在可信边界内? – Ben
已更新的答案。 – zaph