ISP 如何查看 HTTPS 流量？

Question 1

您可以随时安装Wireshark亲自看看面向互联网的网络接口出了什么问题。

此 Stack Overflow帖子为您提供了具体的详细信息。您将连接到的目标主机将被知道，因为它是 SSL 设置中涉及的证书的一部分。这是 URL 的“www.youtube.com”部分。其余的特定 URL 对 ISP 不可见，但如果您使用 ISP 的 DNS 服务器，您的 ISP 将能够知道您至少对该站点进行了 DNS 查找。DNS 查找无法追溯到特定的 URL，但请记住，某些站点将不同类型的内容放在不同的服务器上（例如Bing 将所有露骨内容放在自己的域名上)，这可能会牵连到您。如果可以，请使用非 ISP DNS，例如 OpenDNS。

这是假设您已验证服务器提供的证书是您期望的证书。 SSL 代理（即“中间人”）是可能的，但它们将替换不同的证书 - 这需要您检查，特别是如果替换的证书是大多数浏览器识别的大量“受信任的根证书”的一部分。

Answer

您可以随时安装Wireshark亲自看看面向互联网的网络接口出了什么问题。

此 Stack Overflow帖子为您提供了具体的详细信息。您将连接到的目标主机将被知道，因为它是 SSL 设置中涉及的证书的一部分。这是 URL 的“www.youtube.com”部分。其余的特定 URL 对 ISP 不可见，但如果您使用 ISP 的 DNS 服务器，您的 ISP 将能够知道您至少对该站点进行了 DNS 查找。DNS 查找无法追溯到特定的 URL，但请记住，某些站点将不同类型的内容放在不同的服务器上（例如Bing 将所有露骨内容放在自己的域名上)，这可能会牵连到您。如果可以，请使用非 ISP DNS，例如 OpenDNS。

这是假设您已验证服务器提供的证书是您期望的证书。 SSL 代理（即“中间人”）是可能的，但它们将替换不同的证书 - 这需要您检查，特别是如果替换的证书是大多数浏览器识别的大量“受信任的根证书”的一部分。

Question 2

通配符攻击

如果目标站点的 SSL 证书被泄露，例如被第三方拥有的通配符证书泄露，则机密性可能会在到达目标端的途中受到损害。（例如，参见本文）

公司用例

如果您的 ISP 是您的公司，那么您的所有流量都可能对公司可见。

想象一下这样的设置，公司拥有的额外根证书被部署到浏览器密钥存储中。使用此证书，很容易实现上述攻击。

在这种情况下，可以使用启用 SSL 的反向代理（如 squid）来破解您的加密连接。在
某些情况下，这是一种有效的设置，因为它允许对 SSL 加密流量使用安全系统（例如恶意软件扫描程序）。
此类设置的使用取决于特定国家的法律限制。在德国，“Betriebsrat”（员工代表）必须承认这一点。

Answer

通配符攻击

如果目标站点的 SSL 证书被泄露，例如被第三方拥有的通配符证书泄露，则机密性可能会在到达目标端的途中受到损害。（例如，参见本文）

公司用例

如果您的 ISP 是您的公司，那么您的所有流量都可能对公司可见。

想象一下这样的设置，公司拥有的额外根证书被部署到浏览器密钥存储中。使用此证书，很容易实现上述攻击。

在这种情况下，可以使用启用 SSL 的反向代理（如 squid）来破解您的加密连接。在
某些情况下，这是一种有效的设置，因为它允许对 SSL 加密流量使用安全系统（例如恶意软件扫描程序）。
此类设置的使用取决于特定国家的法律限制。在德国，“Betriebsrat”（员工代表）必须承认这一点。

ISP 如何查看 HTTPS 流量？

答案1

答案2

通配符攻击

公司用例

相关内容