您是否知道,一旦您要求服務器進入特定網站,您的在線隱私可能會損害?問題是,TLS 1.3安全協議應該保護您的數據免受跟踪,在客戶端服務器通信的最初缺乏加密。這是由於SNI TLS擴展程序可以幫助使用相同的IPS訪問網站,但同時降低了用戶的安全性。
幸運的是,有一個解決這個問題的解決方案,稱為加密SNI(ESNI)。它提供了一個額外的加密層,以使您的數據遠離黑客,審查員和在線窺探者。但是,ESNI如何確切工作,足以確保您的匿名性嗎?繼續閱讀以找出答案。
首先,讓我們介紹基礎知識並解釋SNI的含義。
服務器名稱指示(SNI)是傳輸層安全性(TLS)協議的擴展,該協議指定了TLS握手中的主機名。簡而言之,SNI的核心目的是解決訪問在同一服務器上託管並具有相同IP的網站的問題。
網站的通用名稱或域名與SSL證書之間的不匹配導致“您的連接不是私人的”錯誤。
SNI通過在相同的TLS證書中啟用多個IP來幫助避免此錯誤。它簡化了客戶端設備和託管具有不同域名的多個網站的服務器之間的通信。但是,它到底是如何工作的,與您的隱私有什麼關係?讓我們清除事情。
SNI如何工作?
當用戶的設備向服務器發送請求時,他們的通信開始於TLS握手。這是交換所涉及的兩個方之間的某些消息的過程。在這一點上,他們相互驗證,安排加密算法並調整會話鍵。這是SNI擴展。它使主機名在TLS過程的開頭中知道,稱為客戶你好,不是之後。結果,您的請求與網站的域名之間沒有不匹配。
例如,您要輸入https://www.examplewebsite.com,該網站託管在與https://www.anotherwebsite.com,https://www.examplewebsite.io等相同的IP地址上。多虧了SNI擴展程序,該連接將立即建立,儘管該網站的名稱與SSL證書名稱不符。
但是,儘管SNI解決了最重要的TLS問題之一,但它導致了另一個問題。 TLS握手的初始階段缺乏加密,因此用戶旅行的這一部分損害了他們的隱私。幸運的是,您可以通過加密的SNI克服這一挑戰。
什麼是加密的SNI(秋季)?
現在,當您知道SNI是什麼以及它的工作原理時,讓我們澄清加密SNI的含義。
加密的服務器名稱指示(加密SNI或ESNI)是SNI擴展的另一個功能,旨在確保TLS握手的初始階段。
沒有SNI加密,黑客可以使用各種技術,例如網絡釣魚或中間攻擊(MITM)攻擊,欺騙用戶,竊取敏感信息或將其重定向到惡意網站。這就是創建ESNI的主要原因。它將確保SNI作為TLS流程中最脆弱的階段,以防止在線偵探者和第三方在客戶端Hello上發現客戶的請求。
讓我們看看Secure SNI如何更詳細地工作。
加密的SNI如何工作?
加密SNI的關鍵目標是在通信開始時確保客戶端設備與服務器之間的連接。問題在於,在客戶端Hello階段,TLS加密密鑰尚未批准。
為了消除這種脆弱性,加密的SNI提供了替代解決方案 - 一個 公鑰 附在DNS記錄上。此方法有助於在TLS協議加密用戶查詢之前驗證和保護連接。客戶端使用一個對SNI記錄進行加密的公鑰,然後只能由相關服務器解密。
更確切地說,這是SNI加密的工作原理:
- 用戶的設備將請求發送到DNS服務器以發現站點的IP地址。
- DNS服務器的響應包括網站的IP地址和加密的公鑰。
- 該設備將客戶端請求發送到IP地址,而SNI在私鑰的幫助下加密。
- 該服務器提供網站的TLS證書。
- 儘管發生TLS握手過程,但由於加密的SNI,沒有第三方可以監視用戶的當前活動。
不幸的是,SNI加密目前不受大多數Web服務和瀏覽器的支持。一些罕見的例外是Mozilla Firefox和Cloudflare。至於ESNI最常見的用途,它不僅可以防止鼻子窺探器,而且還是抵制在線審查制度的最廣泛的方法之一。
加密SNI如何有助於避免審查制度
在線自由是當今最大的關注點之一。根據自由之家的說法十八個國家可以免費訪問全球網絡。極權國家和威權國家的政府努力控制瀏覽活動,以防止人們查看國際資源並通過社交網絡或使者進行交流。
特別是,在線審查員使用SNI作為TLS 1.3加密中最脆弱的部分,以確定用戶的在線活動並限制其對某些內容的訪問。在客戶端Hello階段,審查員以及其他第三方可以輕鬆檢測一個人試圖訪問和阻止哪個服務器。
這就是加密SNI進行救援的地方。它通過保護用戶對服務器請求的每個階段並將其流量隱藏在Internet服務提供商(ISP)和其他第三方中來提供更多的互聯網自由。但是,要完全可靠,可以通過一些其他安全措施來授權ESNI。
您還需要使用加密的SNI私下?
除ESNI本身外,一些其他安全協議將幫助您避免更有效的監視。讓我們仔細看看最重要的。
https(DOH)協議的DNS
即使您正在使用ESNI,精明的窺探者仍然可以找到一種方法來窺視您的流量。因此,值得通過HTTPS協議(DOH)獲得一個額外的安全層,該層通過額外的HTTPS加密會話運行DNS查詢。
TLS(DOT)協議的DNS
TLS(DOT)上的DNS是另一個強大的網絡安全協議,該協議通過TLS協議對DNS查詢和響應進行加密。
閱讀更多:
域名系統安全擴展(DNSSEC)
這組規格通過確保對來自權威DNS服務器的響應的加密SNI認證來增強DNS協議。在DNSSEC的幫助下,您可以增強對各種網絡威脅的保護,例如DNS欺騙和劫持。
增強您的在線隱私的其他方法
如果您在瀏覽網絡時努力完成匿名,那麼有許多其他方法可以使您的在線活動看不見和受到保護。除了使用DOH,DOT和DNSSEC協議加密的SNI外,您還可以考慮以下Internet隱私提示。
1。選擇最私人的瀏覽器
在線匿名的許多方面都取決於所選的瀏覽器。猜猜是什麼? Google Chrome,Microsoft Edge和Safari等最受歡迎的瀏覽器缺乏許多重要的安全功能。同時,一些鮮為人知的選項可以更好地保護您免受第三方監視。僅舉幾例,這些都是未濕的鉻,虹膜,librewolf,勇敢,Mozilla Firefox和Tor瀏覽器。
2。使用代理服務器
您還可以通過欺騙您的IP地址並將流量重新路由到代理服務器來隱藏您的在線活動。但是,雖然對於繞過某些在線限制非常有效,但代理服務器無法完全保護您的身份,因為它們沒有加密您的連接。結果,代理不會使您遠離病毒和其他網絡威脅。
3。使用VPN保護自己
當涉及私人瀏覽和在線安全性時,虛擬專用網絡(VPN)可能是最強大的解決方案。可靠的VPN服務可以幫助您完全匿名,因為您的數據通過加密的隧道傳播,而第三方不能妥協。通常,VPN工具專注於以下目的:
- 隱藏您的IP地址以使您的在線存在對第三方看不見
- 提供隱私和安全功能,以保護您的個人數據免受各種網絡威脅,包括MITM攻擊,網絡釣魚和DDOS攻擊
- 確保訪問免費互聯網並與在線審查制度作鬥爭
想保持在線安全嗎?嘗試Veepn!這是一項值得信賴的VPN服務,可通過最強大的AES-256加密協議來保護您的數據。最重要的是,VeEPN提供了NetGuard功能,以使您免受在線跟踪器,侵入性廣告和第三方監視的保護。而且,如果您的VPN連接突然失敗,VEEPN將確保在Killswitch功能的幫助下不會丟失敏感數據。
常見問題解答
什麼是SNI?
服務器名稱指示(SNI)是TLS安全協議擴展程序,可幫助避免在TLS握手中的主機名不匹配。它通過在初始客戶端Hello階段顯示主機名來簡化客戶端設備和服務器之間的通信。但是,該TLS階段缺乏加密,並且容易受到第三方監測的影響。
什麼是加密的SNI?
加密SNI(ESNI)是確保TLS握手的客戶端Hello階段的額外隱私功能。它在DNS公鑰的幫助下對SNI擴展進行加密。結果,對於黑客和在線窺探者而言,客戶端設備和服務器之間的通信無法訪問。有關更多詳細信息,請閱讀本文。
TLS 1.3支持SNI嗎?
儘管SNI擴展最初並未添加到TLS 1.3協議中,但它已成為其必不可少的組件。沒有TLS SNI,就不可能在同一IP地址上運行多個SSL證書。如果TLS 1.3缺乏SNI,則您與服務器的連接可能會被“您的連接不是私有”錯誤中斷。