Строю личный сервер. Я хочу иметь доступ к этому серверу из любого места, и я не хочу, чтобы этот сервер был заблокирован. Я понимаю, что HTTPS шифрует мой трафик, но я также слышал, что он не шифрует его полностью. Я слышал, что если вы переходите на веб-сайт с доменом, поиск DNS выполняется без шифрования, и поэтому интернет-провайдер может выяснить, в каком домене находится мой персональный сервер (и какой у него IP). Но что, если я получу доступ к своему серверу с его IP-адреса?
Вопрос: Если я получаю доступ к серверу, перейдя на его IP-адрес, и я использую HTTPS (поэтому URL-адрес будет примерно таким: https://###.###.###.###/), возможно ли кто угодно (включая интернет-провайдеров и людей, «находящихся за тем же маршрутизатором, что и я»), чтобы выяснить IP-адрес сервера, к которому я обращаюсь? Если да, следует ли мне использовать SSL1 / SSL2 / SSL3 или следует использовать TLS1 / TLS1.1 / TLS1.2, или это не имеет значения?
Кстати, сертификат сервера будет самоподписанным, и доступ к этому серверу будет осуществляться только через порт 443 (HTTPS).
Ответ: да. Ваш браузер по-прежнему незамедлительно вступит в трехстороннее установление связи TCP с сервером по адресу ###. ###. ###. ###, и ваш интернет-провайдер сможет это увидеть. Как только соединение будет установлено, ваш браузер получит подтверждение SSL с сервером, и ваш интернет-провайдер сможет это увидеть. После согласования ключей сеанса ваш браузер продолжит обмениваться с сервером пакетами, зашифрованными с помощью SSL, и ваш интернет-провайдер сможет их увидеть. Он не может видеть, что в них, но адрес источника и получателя - и должен оставаться - незашифрованными.
Если вы хотите просмотреть это в частном порядке, загляните в privoxy + TOR.
Да, это вполне возможно и фактически требуется для того, чтобы любой трафик достигал вашего сервера.
«Зашифровать IP» технически ерунда. Зашифрованный с помощью SSL поток https TCP по-прежнему является потоком TCP, и соединение не может быть выполнено без IP-адресов. Все в положении для наблюдения за трафиком может легко регистрировать IP-адрес источника, порт источника, IP-адрес назначения, порт назначения и байты, отправленные в каждом направлении. Что и как долго будет регистрироваться, зависит от того, кто наблюдает, и от того, скомпрометированы ли они или действуют под подчиненным.
Предполагая, что вы подключаетесь к точке доступа Wi-Fi, которая, в свою очередь, подключена к интернет-провайдеру, который направляет ваш трафик по магистрали к вашему провайдеру хостинга, который предоставляет виртуальный или совмещенный хост, это сводится к:
Если вы хотите скрыть свою связь с ним, используйте Tor, как упоминал MadHatter. Все до (включительно) узла входа Tor могут знать, что вы используете Tor, но не то, к чему вы подключаетесь. Все после (включая) выходного узла Tor будут знать, что пользователь Tor подключился к вашему серверу, но не кто.
При нормальных обстоятельствах существует некоторая опасность при скомпрометированном ведении журнала выходного узла или изменении содержимого вашего сеанса, но это в основном смягчается с помощью SSL.
Если вы хотите еще больше скрыть свой сервер, настройте его как Tor скрытая служба. В этом случае нет выходного узла Tor, и ему может потребоваться доступ оболочки к вашему серверу, чтобы даже определить, что на нем запущена веб-служба, особенно если вы также настроите его как ретранслятор Tor для маскировки трафика. Затем вам нужно будет получить к нему доступ как https://blahblah.onion, поэтому ваш компьютер даже не узнает IP-адрес из вашего веб-доступа.