Https安全

DNS问题

域名转换为ip地址的服务

dns的查询和响应是udp协议的明文传输

黑客可以通过抓DNS数据包的方式看到访问网站的真正ip地址(比如WireShark软件)

DNS劫持,DNS污染(中间人根据dns可以误导去一个错误的ip地址,让浏览器无法正常工作)

解决方案:

DOT

使用TLS,端口853

DOH(常用)

使用https,端口443

可以去wlan里面配置

SNI问题

TLS握手中,由于服务器部署多个网站,需要区分客户端需要访问的服务(就是使用SNI)

这个过程是明文的,中间人可以知道你的sni,泄露隐私信息,甚至可以通过sni阻断一部分TLS握手(SNI阻断攻击)

解决方案:

ESNI

client hello阶段的

通过网站公钥加密sni

服务端将公钥放到dns里面,客户端dns解析的时候顺便取出来(需要DOH加密DNS)
缺点: 只加密sni且没有托底机制

ECH

加密整个信息且有重试机制

需要浏览器配置DOH

究极方案

http3.0

使用了QUIC

提供了client hello加密和安全查询dns方案

相关推荐
ACRELKY2 小时前
【黑科技护航安全】分布式光纤测温:让隐患无处可藏
科技·安全
叠叠乐2 小时前
rust Send Sync 以及对象安全和对象不安全
开发语言·安全·rust
zhu12893035564 小时前
网络安全的现状与防护措施
网络·安全·web安全
澳鹏Appen4 小时前
AI安全:构建负责任且可靠的系统
人工智能·安全
Aa美少女战士4 小时前
单域名 vs 通配符:如何选择最适合你的 SSL 证书?
网络协议·https·ssl
咕噜签名4 小时前
如何申请p12证书
网络协议·https·ssl
2a3b4c4 小时前
SSL/TLS
网络协议·https·ssl
zhu12893035566 小时前
网络安全与防护策略
网络·安全·web安全
沫夕残雪6 小时前
HTTP,请求响应报头,以及抓包工具的讨论
网络·vscode·网络协议·http
DevSecOps选型指南7 小时前
2025年企业级开源治理实践与思考
安全·开源·sca·软件供应链安全厂商