Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Domeinnaam is niet zichtbaar bij SSL

Pagina: 1
Acties:

donderdag 6 maart 2014 16:54

Acties:
  • GrooV
  • Registratie: September 2004
  • Laatst online: 19-11 00:16

GrooV

Topicstarter
In nieuws: Onderzoekers: patronen in https-verkeer verraden bezochte pagina's staat er dat de domeinnaam zichtbaar is bij SSL als er via MiTM wordt afgeluisterd. Dit is niet waar, het is alleen zichtbaar naar welk IP adres er verbonden wordt. (Daarom werkt HTTPS maar per IP adres)

donderdag 6 maart 2014 17:37

Acties:
  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

GrooV schreef op donderdag 06 maart 2014 @ 16:54:
In nieuws: Onderzoekers: patronen in https-verkeer verraden bezochte pagina's staat er dat de domeinnaam zichtbaar is bij SSL als er via MiTM wordt afgeluisterd. Dit is niet waar, het is alleen zichtbaar naar welk IP adres er verbonden wordt. (Daarom werkt HTTPS maar per IP adres)
Je bedoelt daarmee dat er maar 1 name-based virtual host per ip kan bij https?

Dat is achterhaalt, je kan al heel lang SNI gebruiken:
http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI
Wikipedia: Server Name Indication

Ik weet alleen niet hoe leesbaar de bedoelde hostname in het dataverkeer zit, je zou verwachten dat ook dat de eerste elementen van het opzetten van de SSL-verbinding al versleuteld zijn :P

donderdag 6 maart 2014 17:58

Acties:
  • Dysmael
  • Registratie: Januari 2002
  • Laatst online: 01-08-2019

Dysmael

ACM schreef op donderdag 06 maart 2014 @ 17:37:
[...]

Ik weet alleen niet hoe leesbaar de bedoelde hostname in het dataverkeer zit, je zou verwachten dat ook dat de eerste elementen van het opzetten van de SSL-verbinding al versleuteld zijn :P
U vraagt, wij draaien;


Ja en nee.

Ja, vanaf de eerste packet vind versleuteling plaats.

Nee, je kan uit het HTTPS verkeer ook de domeinnaam halen. Bij HTTP verkeer is de opgevraagd host inderdaad plain text zichtbaar. Dat is wat GrooV waarschijnlijk bedoeld. Er is inderdaad gelijk een versleutelde communicatie naar een IP adres. Maar de hostname is daar wel degelijk uit te halen.

Hostname in standaard HTTP verkeer:
Afbeeldingslocatie: http://s24.postimg.org/gy3zkb2at/2014_03_06_17_40_20_Clipboard.png

Hostname herleiden uit SSL handshake:
Afbeeldingslocatie: http://s27.postimg.org/ds6gs8xfn/2014_03_06_17_45_14_Clipboard.png

Hostname herleiden door het IP te resolven:
Afbeeldingslocatie: http://s9.postimg.org/ffc6kpx6n/2014_03_06_17_34_31_Clipboard.png

Hostname uit SSL certificaat halen:
Afbeeldingslocatie: http://s14.postimg.org/egh4al7m9/2014_03_06_17_37_16_Clipboard.png

Je kan dus wel degelijk de hostname (domeinname) uit SSL verkeer halen. Of door de TLS handshake te bekijken of door deze te herleiden door het IP te resolven en naar het certificaat te kijken. Daarbij is de informatie in de TLS handshake wel het enige dat betrouwbaar is. IP resolven en certificaat bekijken zijn beide truukjes die niet 100% accuraat zijn.

[ Voor 11% gewijzigd door Dysmael op 06-03-2014 17:59 ]

donderdag 6 maart 2014 18:17

Acties:
  • Joost
  • Registratie: November 2005
  • Laatst online: 17-11 15:40

Joost

Veel dank voor deze uitleg, Rolf :)

Ik ben helemaal geen stagiair

vrijdag 7 maart 2014 10:14

Acties:
  • GrooV
  • Registratie: September 2004
  • Laatst online: 19-11 00:16

GrooV

Topicstarter
Ja dat klopt, maar wat ik bedoel, je kan geen aanname doen op basis van het certificaat.

Je weet namelijk niet of iemand naar https://gathering.tweakers.net gaat of naar https://tweakers.net gaat, beide sites zitten op het zelfde ip met het zelfde certificaat. Helemaal bij shared hosting zitten er 100en sites op 1 server met 1 ip met 1 certificaat.

Stel dat tweakers ooit wikileaks.tweakers.net begint op dat zelfde ipadres dan weet nooit iemand dat jij daar bent geweest.

Daarom klopt de zin ook niet dat de domeinnaam waar mee je verbinding maakt zichtbaar is. Hooguit de domeinnaam die in het certificaat staat.

[ Voor 30% gewijzigd door GrooV op 07-03-2014 10:19 . Reden: uitleg ]

vrijdag 7 maart 2014 11:09

Acties:
  • Dysmael
  • Registratie: Januari 2002
  • Laatst online: 01-08-2019

Dysmael

Afbeeldingslocatie: http://snag.gy/IvZ5m.jpg

Misschien was ik te uitgebreid. Informatie in het certificaat is inderdaad niet voldoende. Dat is een extraatje.

Je kan wel degelijk uit een TLS handshake exact de hostname halen. Zie onderste voorbeeld waarin duidelijk de servernaam 'gathering.tweakers.net' staat in de TLS handshake.

Als Tweakers wikileaks.tweakers.net begint op hetzelfde IP dan is dat op gelijke wijze te herleiden en staat duidelijk 'wikileaks.tweakers.net' in de TLS handshake.

ACM verwees al naar SNI (Server Name Indication)

De zin waarin staat dat de domeinnaam waar je verbinding mee maakt zichtbaar is klopt wel. Staat volledig los van het certificaat dat pas later in beeld komt.

Afbeeldingslocatie: http://snag.gy/VOuuY.jpg

Afbeeldingslocatie: http://snag.gy/ArF9O.jpg

Afbeeldingslocatie: http://snag.gy/AzTlg.jpg

Afbeeldingslocatie: http://snag.gy/A6ury.jpg

Afbeeldingslocatie: http://snag.gy/prWbo.jpg

Afbeeldingslocatie: http://snag.gy/e6RkS.jpg

Afbeeldingslocatie: http://snag.gy/gWKEk.jpg

vrijdag 7 maart 2014 13:07

Acties:
  • GrooV
  • Registratie: September 2004
  • Laatst online: 19-11 00:16

GrooV

Topicstarter
Inderdaad, je hebt gelijkt :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq