如果“TLS 连接”(这是一个正确的术语吗?)是从头到尾加密的,这是否意味着几乎所有网络中介都完全无法解释应用层(在四层意义上) Internet 协议(protocol)套件的模型)正在通信的数据?
TLS 解密点(“TLS 端点”)之后的任何内容都是异常(exception)?
最佳答案
are completely unable to interpret the application-level ..
这主要是但不完全正确。启动 TLS 连接所需的 TLS 握手包含纯文本形式的证书,并且在使用 TLS SNI 扩展(当前所有浏览器都这样做)时,它还包含纯文本形式的目标主机名。除了这些明显的信息之外,TLS 握手的几个特征(如密码和扩展)可用于检测客户端可能使用的浏览器和操作系统。
此外,虽然由于来自较低层的加密信息(如数据包大小和时间)而无法看到实际内容,但可用于对加密连接的内容进行有根据的猜测,如 TCP/IP headers leak info about what you're watching on Netflix 中所述。 .
而且,虽然 TLS 在理论上是端到端加密的(从客户端到服务器),但在实践中,防火墙或防病毒软件作为中间代理中的受信任人来分析流量并且连接是正常的并不少见实际上是客户端到代理加密,然后再次代理到服务器。
关于http - TLS 和网络中介,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43495211/