Vlákno názorů k článku AdGuard Home: bezpečnější procházení webu a rodičovská kontrola od Pavel Tavoda - Ja este jednu otazku ked je tu tak...

Ja este jednu otazku ked je tu tak vela odbornikov a ludi co vsetko skusaju.
Preco sa trapit s nejakym DNS a portami a nastavovanim. Zakazat premavku a vsetko dat cez stare dobre proxy ktora toho dokaze ovela viac ako obycajne DNS. Je na tom nieco zle?
Rozmyslam o tom uz dlho len nemam cas sa s tym hrat.

Dneska se skoro všude používá HTTPS. Takže pokud nebudete používat TLS inspekci, proxy uvidí jen na kterou doménu směruje požadavek. Takže tím nic víc, než s DNS, nedokážete.

Bavíme sa o normálnej proxy, cez tu idete plain.

Ale iba http requesty. Pri https proxy vidi presne to, co ine zariadenie, cez ktore tecie traffic, t.j. maximalne tak SNI.

Aby videl viac, musel by robit SSL termination a to uz by si koncove zariadenie vsimlo.

To by pak HTTPS poněkud postrádalo smysl. V případě HTTPS spojení přes HTTP proxy jde nešifrovaným kanálem jenom požadavek CONNECT, za kterým následuje DNS název nebo IP adresa, kam se má proxy připojit. Tím nešifrovaná část spojení končí a proxy jen vytvoří TCP tunel, kterým si klient přímo se serverem ustaví normální HTTPS spojení. V rámci toho má ještě šanci odchytit SNI, pokud se nepoužije ECH.

Takže proxy nic víc, než hostname, odchytit nemůže (pokud se nepoužije TLS inspekce s podvrženými certifikáty). Pokud cílový server podporuje ECH a prohlížeč při ustavování spojení předá jen IP adresu a ne hostname, nedozví se proxy ani to hostname.