运营商能否知道我访问某些 HTTPS 网站的域名？

可以的，证书里有

敲完回车，第一个 UDP 包就把域名交出去了。

可以啊 dns 了解一下 明文的
dns over tls 可以解决但没有广泛使用

@just1
@t6attack
@zhuanzh
感谢解答

能知道域名全部地址吗？比如 baidu.com 他知道了，baidu.com/xxx.xxx

知道，请求头里面就有，明文

@heiyutian 不能

DNS 解析会有
证书也会暴露

@heiyutian

不能，baidu.com 是证书中的

以下内容是加密的


GET /xxx.xxx

Host: baidu.com
Referer: https://www.v2ex.com/t/475061

@mofe 嗯
@miyuki 那就好，这样稍微放点心。

现在握手时候都有 SNI 的，域名是明文发送的。

https://zh.wikipedia.org/wiki/%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%90%8D%E7%A7%B0%E6%8C%87%E7%A4%BA

SNI 加密还在制定中
https://news.ycombinator.com/item?id=17538390

TLS 1.3 开始证书也会加密传了

client hello 里一定是包含域名信息的。不然服务端怎么知道具体下发哪个证书？

当然完整的访问 URI 是拿不到的，握手完成后，才会进行这些信息的交换。

来参考一下这个流程图？

https://upload-images.jianshu.io/upload_images/128529-abd6f1e1e6e126b5.jpg?imageMogr2/auto-orient/

SNI 加密的相关草案：
https://tools.ietf.org/html/draft-ietf-tls-sni-encryption
https://tools.ietf.org/html/draft-rescorla-tls-esni

或许以后就会迎来加密的 SNI，到那时某防火墙不知道还有这么给力么。。。

@caola dns 污染了解一下，封 ip 了解一下

@dahounet SNI 加密草案中也提到了 DNS 污染问题，客户端要通过校验 DNSSEC 和 DoH/DPRIVE 来保护 DNS，
DNSSEC 的扩展也容易被劫持 (某防火墙就干了这事)，但 DoH 又会产生一定的性能问题。
我相信这个问题会得到解决，比如使用正在草案的 DoQ (DNS over QUIC) 。

如果 SNI 加密和 DNS 得到真正的解决，那么封 IP 的意义已经不大了，
以后是 IPV6 的天下 IP 多得是，整段的封？ TM 不会换其他段的 IP 啊，反正 IP 多得是且免费，看你怎么封，
即使不备案使用国内的服务器又怎样，反正机房或服务器商，都根本不会知道你访问的域名和内容是什么，谈何封锁。。。

@caola #17 白名单了解一下

@flowfire 如果解决了 SNI 加密 和 DNS 的安全问题，白名单有个屁用！

加入 hsts 列表的域名，或者像 .app 后缀之类默认是 hsts 里的域名，压根都不会走 http 协议

请问在此情况下，你如何检查用户访问的域名及内容是什么？你如何白名单？

@caola #19 dns 最终都要解析到 IP
只需要规定白名单以外的 IP 不允许 ISP 提供互联网服务，你上层再怎么加密也毫无卵用。