SNI阻断是什么原理
理论上, 浏览器向证书厂商请求查询证书是否合规有效,<br /><br />
是用https请求的啊, 也就是网络商提供商电信、移动, <br />
<br />
它根本看不见浏览器是在查询检查哪个域名的证书啊,<br />
<br />
这又怎么去阻断呢? 还是说根本就不存在所谓SNI阻断? <br />
<br />
因为我测试把91那个网站的主域名, 电脑手动加hosts改成CF的IP,<br />
然后全程不需要任何代理, 可以全程Https正常访问91的域名 但凡你打开wireshark多看看 就不会说出这种话来 sni是不加密的,加密了的esni也会被封锁 <div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15499954&ptid=1302252" target="_blank"><font color="#999999">anonytz 发表于 2024-5-1 09:51</font></a></font><br />
sni是不加密的,加密了的esni也会被封锁</blockquote></div><br />
那为什么91这么出名的网站, 都没能上得了SNI阻断的名单? https的tls在握手阶段,会有一个client helllo包,里面有一个SNI,显示了要访问的域名,这个是明文的,你的通信商不就看到了么?这个玩意和你浏览器检查证书是两码子事情。。。 <div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15499962&ptid=1302252" target="_blank"><font color="#999999">minelocal 发表于 2024-5-1 09:54</font></a></font><br />
那为什么91这么出名的网站, 都没能上得了SNI阻断的名单?</blockquote></div><br />
墙也想看 <img src="https://hostloc.com/static/image/smiley/default/lol.gif" smilieid="12" border="0" alt="" /> <div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15499966&ptid=1302252" target="_blank"><font color="#999999">hostlover 发表于 2024-5-1 09:55</font></a></font><br />
https的tls在握手阶段,会有一个client helllo包,里面有一个SNI,显示了要访问的域名,这个是明文的,你的 ...</blockquote></div><br />
<br />
这个SNI中的域名是必须发送的么, <br />
<br />
比如我的服务器是独立IP, 并且对应的IP上也只单独运行了这个域名的站, <br />
<br />
<font color="Red">有没有什么方法可以让SNI中不要域名呢? </font><br />
<br />
因为这个IP就只运行这个唯一的站, 不存在无法判断浏览器要访问哪个站的困扰 <div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15499978&ptid=1302252" target="_blank"><font color="#999999">minelocal 发表于 2024-5-1 10:02</font></a></font><br />
这个SNI中的域名是必须发送的么, <br />
<br />
比如我的服务器是独立IP, 并且对应的IP上也只单独运行了这个域名的站, ...</blockquote></div><br />
这是浏览器决定,你要么走代理删减掉sni,要么修改浏览器,还有一个是用ip访问。 浏览器内置有一套根证书, 操作系统也有根证书, 检查证书是否有效不需要向厂商发起请求
页:
[1]