SNI阻断是什么原理

minelocal · 发表于 2024-5-1 09:43:48

理论上, 浏览器向证书厂商请求查询证书是否合规有效,

是用https请求的啊, 也就是网络商提供商电信、移动,

它根本看不见浏览器是在查询检查哪个域名的证书啊,

这又怎么去阻断呢?

minelocal · 发表于 2024-5-1 09:46:26

还是说根本就不存在所谓SNI阻断?

因为我测试把91那个网站的主域名, 电脑手动加hosts改成CF的IP,
然后全程不需要任何代理, 可以全程Https正常访问91的域名

榆木 · 发表于 2024-5-1 09:51:44

但凡你打开wireshark多看看就不会说出这种话来

anonytz · 发表于 2024-5-1 09:51:45

sni是不加密的，加密了的esni也会被封锁

minelocal · 发表于 2024-5-1 09:54:24

anonytz 发表于 2024-5-1 09:51
sni是不加密的，加密了的esni也会被封锁

那为什么91这么出名的网站, 都没能上得了SNI阻断的名单?

hostlover · 发表于 2024-5-1 09:51:00

https的tls在握手阶段，会有一个client helllo包，里面有一个SNI，显示了要访问的域名，这个是明文的，你的通信商不就看到了么？这个玩意和你浏览器检查证书是两码子事情。。。

魔法师 · 发表于 2024-5-1 09:55:41

minelocal 发表于 2024-5-1 09:54
那为什么91这么出名的网站, 都没能上得了SNI阻断的名单?

墙也想看

minelocal · 发表于 2024-5-1 09:56:28

hostlover 发表于 2024-5-1 09:55
https的tls在握手阶段，会有一个client helllo包，里面有一个SNI，显示了要访问的域名，这个是明文的，你的 ...

这个SNI中的域名是必须发送的么,

比如我的服务器是独立IP, 并且对应的IP上也只单独运行了这个域名的站,

有没有什么方法可以让SNI中不要域名呢?

因为这个IP就只运行这个唯一的站, 不存在无法判断浏览器要访问哪个站的困扰

acpp · 发表于 2024-5-1 09:54:00

minelocal 发表于 2024-5-1 10:02
这个SNI中的域名是必须发送的么,

比如我的服务器是独立IP, 并且对应的IP上也只单独运行了这个域名的站, ...

这是浏览器决定，你要么走代理删减掉sni，要么修改浏览器，还有一个是用ip访问。

Mr.lin · 发表于 2024-5-1 10:02:45

浏览器内置有一套根证书, 操作系统也有根证书, 检查证书是否有效不需要向厂商发起请求

		自动登录	找回密码
密码			立即注册