Б
каким образом оно делает редирект если соединение ещё не установлено и происходит момент ClientHello?
Size: a a a
2021 October 19
IE
Что мешает установить соединение со своим ssl и уже потом разбирать, какой там домен нужен?
Б
это подмена сертификата будет
Б
об этом браузер тебе сообщит
Б
домен ты можешь на моменте ClientHello узнать ещё это не проблема
IE
esni и проблема
Б
в 1.3 уже да
A
его вроде передумали?
Б
там что то другое придумали уже помоему
Б
в замен его
Б
короче без полноценного установление соединения если ты сидишь по середине (аля как прокся) без подмены сертификата
редирект не сделать
редирект не сделать
IS
ECH
Б
но тут есть инфа что владельцы DPI могут в теории пользоваться выделенным ЦС
купленным у какого-нить GlobalSign
купленным у какого-нить GlobalSign
IE
На какой домен?
Б
Б
ну а почему бы собственно и нет
Б
Причины использования выделенного УЦ или корневого центра
Б
Инспекция/дешифрование SSL/TLS
Чтобы устройство проверки SSL могло дешифровать и заново шифровать контент, у него должна быть возможность выдавать сертификаты по мере необходимости. Это означает, что нужен собственный подчинённый УЦ вне публичной иерархии доверия. В этом случае корневой УЦ размещается у GlobalSign, а промежуточный УЦ — на устройстве проверки сертификатов у клиента.
Чтобы устройство проверки SSL могло дешифровать и заново шифровать контент, у него должна быть возможность выдавать сертификаты по мере необходимости. Это означает, что нужен собственный подчинённый УЦ вне публичной иерархии доверия. В этом случае корневой УЦ размещается у GlobalSign, а промежуточный УЦ — на устройстве проверки сертификатов у клиента.
Б
или я чего то не понял или это фиаско
IE
используй бритву оккама