Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Let's Encrypt & Wireshark

28-02-2020, 20:26 door Anoniem, 4 reacties
Weet iemand waarom, als ik een website bezoek met een Let's Encrypt certificaat, ik in Wireshark geen 'TLS Server Name Indication' zie?

Bij https-sites met een certificaat van een andere CA kan ik wel gewoon de domeinnaam van de bezochte terugvinden in de packets.
Reacties (4)
28-02-2020, 23:19 door Erik van Straten
Misschien dat het hierbij om ESNI (Encrypted Server Name Indication) gaat, maar daar bestaat voor zover ik weet nog geen officiële standaard voor (zie https://tools.ietf.org/html/draft-ietf-tls-esni-05). Maar wie weet wordt het hier en daar al ingezet.

Ik kan mij echter nauwelijks voorstellen dat dit iets met Let's Encrypt certs te maken heeft, want bij het opzetten van de verbinding begint de browser met het sturen van de "Client Hello" waarin SNI of ESNI informatie opgenomen is, waarna de server antwoordt met een of meer "Server Hello" pakketjes waarin het cert zit (tenzij een eerdere verbinding hergebruikt wordt, dan stuurt de server geen cert). Zie ook de plaatjes in https://blog.cloudflare.com/encrypted-sni/.

Je hebt neem ik aan DoH aan staan? (Anders heeft ESNI niet zoveel zin, want de publieke sleutel, gebruikt voor het versleutelen van de SNI, wordt via DNS opgevraagd). En welke browser gebruik je, op welk OS? Heb je een voorbeeld van een site waarbij jouw browser geen sporen van SNI achterlaat in Wireshark?
28-02-2020, 23:34 door Anoniem
Met Wireshark kun je ook geen sites bezoeken, daar kun je een browser voor gebruiken, bv Chrome van Google.
29-02-2020, 07:54 door Anoniem
Wellicht dat er ook nog gebruik gemaakt wordt van TLS Resumption, dan is er geen volledige handshake nodig. Op een vergelijkbare manier kan je browser ook nog een HTTP/2 connectie open houden waardoor er ook geen nieuwe connectie opgezet wordt per pagina. Beide gevallen zijn uit te sluiten door je browser echt af te sluiten, dan wireshark te starten en dan pas naar de betreffende site te gaan.
29-02-2020, 19:16 door Anoniem
Helder verhaal mensen! Ik had (toch wel) te maken met ESNI, maar herkende het nog niet. Weer wat geleerd! Dank
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search