如果我发出HTTP请求:
https://hello.domain.com
连接是否也会加密域地址(hello.domain.com)?因此,嗅探流量仍然无法猜测所请求的DNS地址是什么.
注意:我说的是DNS地址,而不是已解析的IP地址.
解决方法
没有.
为了让Web浏览器确定某些主机的IP地址,例如example.com,它必须在DNS中查找,并且该单独的连接未加密.
因此,SSL / TLS不能完全防御恶意ISP.这样的攻击者仍然可以确定Web浏览器想要访问哪个站点,即使他无法读取实际数据.
此外,当前的TLS实现将始终以明文形式发送服务器的完全限定域名,以支持Server Name Indication.因此,恶意ISP甚至不需要查看您的DNS查询.
