アカウント名:
パスワード:
逆説的に、TLS 1.3 は安全だと言っている気がする。TLS 1.2 はもう解読できる、もしくは実用範囲内で解読できるから自由につかっていいよ、と。
TLS 1.3 への移行を更に急いだほうが良いかもしれないですね。
TLS 1.3未満のSSL/TLSには、SNIといって宛先ドメイン名を平文で添える仕組みがあるんです。ec2-12-34-56-78.ap-northeast-1-compute.amazonaws.comが*.amazonaws.comの証明書の代わりにsrad.jpの証明書を選んで返すにはそれが一番見栄えが良くて手っ取り早いので。
で、平文で送信されるということはGFWで見つけて叩き落とせるので、TLS 1.3でESNI(Encrypted SNI)が導入されたわけです。で、平文で送信されないということはGFWで見つけて叩き落とせないわけですね。
ここで例えばupdate.microsoft.comとgithub.comとtiktok.comが全てESNIを強制していて、全て逆引きで*cloudapp.azure.comとかを返してきて、全てIPが時々入れ替わるようになっていたりすると、GFWの運用上は不都合でしょうね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
TLS 1.2 はok (スコア:1)
逆説的に、TLS 1.3 は安全だと言っている気がする。
TLS 1.2 はもう解読できる、もしくは実用範囲内で解読できるから自由につかっていいよ、と。
TLS 1.3 への移行を更に急いだほうが良いかもしれないですね。
Re:TLS 1.2 はok (スコア:5, 参考になる)
TLS 1.3未満のSSL/TLSには、SNIといって宛先ドメイン名を平文で添える仕組みがあるんです。ec2-12-34-56-78.ap-northeast-1-compute.amazonaws.comが*.amazonaws.comの証明書の代わりにsrad.jpの証明書を選んで返すにはそれが一番見栄えが良くて手っ取り早いので。
で、平文で送信されるということはGFWで見つけて叩き落とせるので、TLS 1.3でESNI(Encrypted SNI)が導入されたわけです。で、平文で送信されないということはGFWで見つけて叩き落とせないわけですね。
ここで例えばupdate.microsoft.comとgithub.comとtiktok.comが全てESNIを強制していて、全て逆引きで*cloudapp.azure.comとかを返してきて、全てIPが時々入れ替わるようになっていたりすると、GFWの運用上は不都合でしょうね。