¿Qué tan privado es el HTTP para un ISP?
Por ejemplo, ¿puede mi ISP conocer la URL completa (no solo el dominio) mientras se conecta a un sitio web con HTTP? ¿Puede mi ISP ver imágenes cargadas a través de un sitio web conectado a HTTP? ¿Mi ISP sabría el subdominio que estoy visitando a través de HTTPS?
Respuesta1
¿Puede mi ISP conocer la URL completa (no solo el dominio) mientras se conecta a un sitio web con HTTP?
- Sabrán/podrán registrar a qué IP está accediendo en virtud de los paquetes TCP/IP que atraviesan el ISP. El contenido de la URL está cifrado, las cadenas de consulta y todo lo que aparece después
https://domain.example/
no se puede ver. - Si utilizó los servidores DNS de su ISP para resolver el nombre de dominio en cuestión, ellos podrán verlo/registrarlo directamente.
- Si utilizó un proveedor de DNS externo que no es ISP para resolver el nombre de dominio, este podrá verlo/registrarlo en tránsito ya que el DNS estándar no está cifrado. Algunos ISP implementan proxy transparente en puertos DNS estándar para evitar que utilice un DNS de terceros.
¿Puede mi ISP ver imágenes cargadas a través de un sitio web conectado a HTTP?
No. Sin embargo, si las imágenes están alojadas en un dominio separado, pueden ver el dominio al que se accede y se aplica lo anterior.
¿Mi ISP sabría el subdominio que estoy visitando a través de HTTPS?
Es trivial resolver inversamente una IP en el nombre de dominio completo.
Respuesta2
Hay muchos tipos de VPN disponibles, e incluso SSL varía en potencia, por lo que no hay una manera clara de hacer una comparación de manzanas con manzanas. De todos modos, algunas VPN anunciadas son solo un túnel SSL, pero otras no. No creo que SSL sea una herramienta particularmente poderosa contra un ISP o un actor a nivel de estado-nación.
La URL es una construcción de Capa 7, por lo que estaría oculta para el ISP cuando use HTTPS (un protocolo de capa 4), suponiendo que no hayan comprometido el túnel seguro, lo cual son capaces de hacer.
Una VPN de capa 2 o 3 (IPSEC/L2TP) enviará el datagrama DNS completo a través del túnel, por lo que presumiblemente el ISP no lo verá, siempre y cuando no esté utilizando los servidores DNS del ISP.