En ezt egy beszelgetesnek vettem, nem technikai vitanak, szoval elnezest kerek a valaszert. Szamomra nem szetvalaszthato a lehallgatas es az azt kivitelezo eszkoz, mert hogy altalaban osszefuggenek.
DNS over HTTPS: Megfogod a forgalmat egy MIM proxyval es egy sajat megbizhato tanusitvannyal ujra titkositod. Marmint a helyi cert store-hoz ugy van hozzaadva, mint megbizhato. Innentol ha szerencsed van es a kliens nem ellenorzi az impersonating attack-ot, siman megy. Ha ellenorzi, kidobod, vagy ha nagyon kell, korbelovod egyeb eszkozokkel, hogy csak azzal a szerverrel tudjon kommunikalni, ami szamodra elfogadhato. Ha nem nezi az impersonating-ot, ott vagy mint egyebkent, van egy kibontott forgalmad, amivel azt teszel, amit akarsz.
A tobbi kerdesed legalabb olyan altalanos, mint az en valaszom volt fentebb, szoval nem technikai.
A TLS SNI proxy nem csinal teljes forgalom decryptalast es encryptalast csak a ClientHello-ig megy el es azon alapulva lovi tovabb a forgalmat, ahol ez ismet lezajlik, de mar a tegyleges host-tal es hozza tartozo cert/key-el. Azon kivul, hogy metaadatot gyujtenek rolad, amit amugy is meg lehet tenni, mi vele a gond?
Kerdes ketto: mi a gond szamodra a CloudFlare-rel es az open dns szolgaltatokkal, hogy tiltolistan vannak?