TLS рукопожатие в путанице HTTP-соединения - PullRequest
Новая
       7

TLS рукопожатие в путанице HTTP-соединения

0 голосов
/ 07 мая 2018

Я читал о перенаправлениях HTTP, HSTS, пересмотре SSL и т. Д.

Когда я прочитал о перенаправлениях, мне стало ясно, что каждое перенаправление выполняется после рукопожатия SSL / TLS. Это сделано в зашифрованном виде, а не в открытом виде (открытым текстом).

Теперь у меня есть несколько вопросов по этому вопросу, поскольку они не подходят для многих вещей, которые я изучил до сих пор ...

Прежде всего, это должно означать, что отправка сообщения приветствия клиенту TLS - это первое, что происходит после получения необходимой информации DNS.

Так зачем вообще использовать HTTPS? Эти статьи в буквальном смысле говорят нам, что HTTP запросы зашифрованы, или, другими словами, нам не нужно использовать HTTPS для шифрования нашего веб-трафика ??? ...

Я знаю, что это вообще не может быть правдой, но это то, что я из этого придумаю.

Таким образом, с учетом этого SSL-разбор (или вообще отправка открытого текста на веб-серверы в целом) будет невозможен, поскольку HTTP-запрос и ответ уже зашифрованы. Клиент никогда не продолжит отправку незашифрованных данных после того, как рукопожатие SSL / TLS уже настроено ...

Сценарий по статьям: (HSTS может не приниматься во внимание для этого сценария)

Клиент переходит на http://bbc.com (да, даже если imdb поднял свою веб-игру, bbc все еще не сделал).

Браузер отправляет DNS-запрос на выбранный DNS-сервер.

DNS-сервер отвечает (может быть рекурсивным процессом) с IP-адресом веб-сервера / a для google.com.

  1. Клиент отправляет приветственное сообщение клиента SSL / TLS на веб-сервер.
  2. Они проходят через рукопожатие SSL / TLS.
  3. Клиент отправляет зашифрованный HTTP-запрос на веб-сервер.
  4. С этого момента они должны были зашифровать разговоры

С этого момента неясно, поскольку bbc не будет перенаправлять на HTTPS, поскольку у них нет домашней страницы с поддержкой HTTPS. С другой стороны, HTTP-запрос уже сделан с использованием согласованного ключа и алогритов, он зашифрован, и клиент будет ожидать зашифрованный ответ ...

.

Статьи:

https://blog.dnsimple.com/2016/08/https-redirects/

https://devcentral.f5.com/questions/redirect-ssl-connection-to-new-url-before-ssl-handshake

.

Я на самом деле изучал эту информацию, чтобы лучше понять атаку с применением SSL-шифрования, вместе с решением HSTS (для неопытных пользователей). Я также взглянул на версию 2 для SSL-разборки, которая может продвинуться еще на один шаг и использовать трафик HSTS, если DNS используется для разрешения узла в первую очередь (при первом установлении соединения).

...