如果" TLS连接" (这是一个正确的术语?)是从头到尾加密的,这是否意味着几乎所有的网络中介都完全无法解释应用程序级别(在Internet协议套件的四层模型意义上)数据连通?
TLS解密点之后的任何异常(" TLS端点")?
答案 0 :(得分:2)
完全无法解释应用程序级别。
这大部分但并非完全正确。启动TLS连接所需的TLS握手包含纯文本证书,当使用TLS SNI扩展(当前所有浏览器都使用)时,它还包含纯文本的目标主机名。除了这些明显的信息之外,还可以使用密码和扩展等TLS握手的几个特征来检测客户端可能使用的浏览器和操作系统。
此外,虽然不可能看到实际内容,因为来自较低层的加密信息(如数据包大小和时间)可用于对加密连接的内容进行有根据的猜测,如{{3 }}
而且,虽然TLS在理论上实际上是端到端加密(从客户端到服务器),但实际上防火墙或防病毒作为中间代理中的可信人来分析流量并且连接是实际上客户端到代理加密,然后再次代理到服务器。
答案 1 :(得分:1)
是的,没有媒体可以确定数据的任何内容,只有URL地址(如果没有加密)。
唯一需要注意的是,没有MITM,这可以通过固定证书的客户端来缓解。固定证书意味着客户端验证所提供的证书不仅有效,而且来自预期的服务器。