Zunächst einmal entschuldige ich mich für mein schlechtes Englisch. Ich bin noch dabei, es zu lernen. Hier ist es:
Wenn ich eine einzelne Website pro IP-Adresse hoste, kann ich „reines“ SSL (ohne SNI) verwenden, und der Schlüsselaustausch erfolgt, bevor der Benutzer mir überhaupt den Hostnamen und den Pfad mitteilt, den er abrufen möchte. Nach dem Schlüsselaustausch können alle Daten sicher ausgetauscht werden. Das heißt, wenn jemand zufällig das Netzwerk abhört, werden keine vertraulichen Informationen weitergegeben* (siehe Fußnote).
Wenn ich andererseits mehrere Websites pro IP-Adresse hoste, werde ich wahrscheinlich SNI verwenden, und daher muss mir mein Website-Besucher den Ziel-Hostnamen mitteilen, bevor ich ihm das richtige Zertifikat bereitstellen kann. In diesem Fall kann jemand, der sein Netzwerk ausspioniert, alle Website-Domänen verfolgen, auf die er zugreift.
Sind meine Annahmen falsch? Wenn nicht, stellt dies dann nicht ein Datenschutzproblem dar, vorausgesetzt, der Benutzer verwendet auch verschlüsseltes DNS?
Fußnote: Mir ist auch klar, dass ein Sniffer eine umgekehrte Suche der IP-Adresse durchführen und herausfinden könnte, welche Websites besucht wurden, aber der Hostname, der im Klartext durch die Netzwerkkabel reist, scheint den Zensurbehörden die schlüsselwortbasierte Domänenblockierung zu erleichtern.
Antwort1
Ihre Analyse ist falsch. Mit SNI sind Sie sicherer als ohne.
Ohne SNI identifiziert die IP-Adresse den Host eindeutig. Somit kann jeder, der die IP-Adresse ermitteln kann, den Host ermitteln.
Bei SNI identifiziert die IP-Adresse den Host nicht eindeutig. Jemand müsste tatsächlich einen Teil des Datenverkehrs abfangen und anzeigen, um den genauen Host zu bestimmen. Dies ist schwieriger, als nur die IP-Adresse zu ermitteln.
Sie sind mit SNI also (etwas) sicherer als ohne.
Jeder, der auf der Grundlage einer aufdringlichen Analyse von Paketdaten blockiert, blockiert auch auf der Grundlage der IP-Adresse. Sie blockieren die „schlechten“ auf der Grundlage der IP-Adresse mit oder ohne SNI.
Die Antwort auf Ihre Frage lautet jedoch „Ja“. SNI stellt ein Datenschutzproblem dar. Mit SNI erhält jemand, der den Datenverkehr abfangen kann, zusätzlich zur IP-Adresse auch den Hostnamen.
Antwort2
Sie haben RECHT. SNI ist ein großes Datenschutzproblem für Ihre Besucher – es legt die genauen Websites offen, mit denen Ihre Besucher sich verbinden, gegenüber ihrem ISP und anderen passiven Abhörern. Aber das gilt auch für DNS... nun ja... früher: Google behebt das gerade:-
https://thehackernews.com/2017/10/android-dns-over-tls.html
Die Kenntnis einer IP-Adresse sagt dem ISP NICHT, welche Website sich unter dieser IP-Adresse befindet, es sei denn, er sucht selbst aktiv nach der Website, was etwas ganz anderes ist, als wenn er passiv Kundenpakete abhört.
Antwort3
Sie haben Recht, dass dies ein potenzielles Datenschutzproblem darstellt: Bei Verwendung von SNI wird der Domänenname unverschlüsselt gesendet.
DeshalbESNI(Encrypted SNI) wurde seitdem von Cloudflare vorgeschlagen, die es bereits in ihrem CDN implementiert haben. Zum Zeitpunkt des Schreibens dieses Artikels ist die Browserunterstützung nahezu null, aber dies scheint die Zukunft zu sein!