web-dev-qa-db-ja.com

ISPはHTTPSトラフィックをどのように認識しますか?

httpsのURLにアクセスしている場合は、https://www.youtube.com/watch?v=7HKoqNJtMTQ。私のISPは正確に何を見ますか?

8
Esha Sharma

いつでも Wireshark をインストールして、インターネットに接続しているネットワークインターフェイスの機能を自分で確認できます。

このスタックオーバーフロー の投稿に具体的な詳細が表示されます。接続先のホストは、SSL設定に含まれる証明書の一部であるため、認識されます。これは、URLの「www.youtube.com」の部分です。特定のURLの残りの部分はISPには表示されませんが、ISPのDNSサーバーを使用している場合、ISPは少なくともそのサイトへのDNS参照を行ったことを知ることができます。 DNSルックアップを特定のURLまで追跡することはできませんが、一部のサイトでは異なるタイプのコンテンツを異なるサーバーに配置することに注意してください( Bingはすべての明示的なコンテンツを独自のドメインに配置する など)。 。可能であれば、OpenDNSなどの非ISP DNSを使用してください。

これは、サーバーによって提示された証明書が予期したものであることを確認したことを前提としています。 SSLプロキシ(つまり、「中間者」)は可能ですが、別の証明書に置き換えられます-特に確認された「信頼されたルート証明書」の一部に置き換えられた証明書がある場合、確認する必要があります。ほとんどのブラウザ。

11
LawrenceC

ワイルドカード攻撃

宛先サイトのssl証明書が危険にさらされている場合。サードパーティが所有するワイルドカード証明書により、宛先側への途中で機密性が侵害される可能性があります。 (例: この記事 を参照)

会社のユースケース

ISPがあなたの会社である場合、すべてのトラフィックがその会社から見えるようになる可能性があります。

セットアップについて考えてみましょう。そこでは、会社が所有する追加のルート証明書がブラウザーの鍵ストアにデプロイされます。この証明書を使用すると、説明した攻撃を簡単に行うことができます。

この場合、squidのようなSSL対応のリバースプロキシを使用して、暗号化された接続を解読できます。
これは、ssl暗号化トラフィックにもセキュリティシステム(マルウェアスキャナーなど)の使用を許可するため、一部の状況では有効な設定です。
そのような設定の使用は、特定の郡の法的制限に依存します。ドイツでは、 "Betriebsrat"(従業員代表)はこれを認めなければなりません。

1
user86064