Welche Art von Informationen machen HTTPs von einem ISP privat? [Duplikat]

0

Diese Frage hat hier bereits eine Antwort:

Wie privat sind HTTPs für einen ISP?

Kann mein ISP beispielsweise die gesamte URL (nicht nur die Domain) kennen, während er eine Verbindung zu einer Website mit HTTPs herstellt? Kann mein ISP Bilder sehen, die über eine mit HTTPs verbundene Website geladen wurden? Würde mein ISP die Subdomain kennen, die ich über HTTPS besuche?

Karolinger
quelle

Antworten:

2

Kann mein ISP die gesamte URL (nicht nur die Domain) kennen, während er eine Verbindung zu einer Website mit HTTPs herstellt?

  • Sie wissen / können protokollieren, auf welche IP-Adresse Sie aufgrund von TCP / IP-Paketen zugreifen, die über den ISP übertragen werden. Der Inhalt der URL ist verschlüsselt, Abfragezeichenfolgen und alles, was danach folgt, https://domain.example/sind nicht sichtbar.
  • Wenn Sie die DNS-Server Ihres Internetdienstanbieters verwendet haben, um den fraglichen Domainnamen zu ändern, können sie diesen direkt anzeigen / protokollieren.
  • Wenn Sie einen Drittanbieter-DNS-Anbieter verwendet haben, um den Domänennamen aufzulösen, können diese diesen während der Übertragung anzeigen / protokollieren, da Standard-DNS nicht verschlüsselt ist. Einige ISPs implementieren transparentes Proxying für Standard-DNS-Ports, um zu verhindern, dass Sie DNS von Drittanbietern verwenden.

Kann mein ISP Bilder sehen, die über eine mit HTTPs verbundene Website geladen wurden?

Nein. Wenn die Bilder jedoch auf einer separaten Domain gehostet werden, können sie sehen, auf welche Domain zugegriffen wird, und obiges gilt.

Würde mein ISP die Subdomain kennen, die ich über HTTPS besuche?

Es ist trivial, eine IP in den vollständigen Domainnamen umzuwandeln.

LawrenceC
quelle
1
  1. Es gibt viele Arten von VPNs, und selbst SSL ist unterschiedlich stark, sodass es keine eindeutige Möglichkeit gibt, einen Vergleich von Äpfeln zu Äpfeln durchzuführen. Einige angekündigte VPNs sind ohnehin nur ein SSL-Tunnel, andere nicht. Ich glaube nicht, dass SSL ein besonders starkes Instrument gegen einen ISP oder einen nationalstaatlichen Akteur ist.

  2. Die URL ist ein Layer 7-Konstrukt, das bei Verwendung von HTTPS (einem Layer 4-Protokoll) vor dem ISP verborgen bleibt, vorausgesetzt, sie haben den gesicherten Tunnel nicht kompromittiert, wozu sie in der Lage sind.

  3. Ein Layer 2- oder 3-VPN (IPSEC / L2TP) sendet das gesamte DNS-Datagramm durch den Tunnel, sodass es der ISP vermutlich nicht sehen würde, solange Sie nicht die DNS-Server des ISP verwenden.

Frank Thomas
quelle
Meine Frage wurde auf Eis gelegt. Ich habe viele Änderungen vorgenommen, um die Frage einzugrenzen. Würde es Ihnen etwas ausmachen, mir Ihre Meinung zu den Änderungen mitzuteilen?
Karolinger
"Vorausgesetzt, sie haben den gesicherten Tunnel nicht kompromittiert, wozu sie in der Lage sind" - wie würden sie das tun, wenn sie Ihren Browser oder Ihr Betriebssystem nicht kontrollieren, um ihr eigenes Stammzertifikat zu installieren?
Arjan
@Arjan, Viele ISPs führen Zertifikatsumwandlungsangriffe durch, damit sie in verschlüsselten Kanälen suchen können. Sie fangen die Anforderung ab, einen sicheren Kanal einzurichten, und ersetzen Ihre Schlüssel durch ihre eigenen. das stellt die Verbindung zwischen ihnen und dem Remote-Server her. Wenn die Antworten zurückkommen, tauschen sie einfach die Zertifikate / Schlüssel erneut aus, sodass Sie glauben, dass Ihr Browser glaubt, dass er tatsächlich direkt mit dem Remote-System verbunden ist.
Frank Thomas
.... aber welche Sicherheit bietet HTTPS, um Man-in-the-Middle-Angriffe zu vermeiden? Und warum sollten zwielichtige Regierungen private Root-Schlüssel stehlen müssen , um Zertifikate zu erstellen, denen die Browser vertrauen?
Arjan
Irgendeine Referenz eines solchen ISP? Ich glaube wirklich nicht, dass das wahr ist.
Arjan