Sebelum pergi lebih jauh, ketahuilah bahwa saya bukan insinyur jaringan: mungkin jika Anda bekerja di bidang ini, Anda telah tahu itu untuk seluruh karir Anda, tetapi itu cukup baru bagi saya. Karena postingan aslinya cukup panjang, saya telah memecahkannya menjadi dua bagian: masalah dan solusi. Situasi Saya memiliki domain sendiri. saya telah membuat beberapa subdomain dari itu. beberapa dari mereka peta ke layanan online, satu dari mereka ke ke Home Assistant saya, dan satu ke NAS saya yang diselenggarakan di rumah. yang terakhir jelas mengirimkan permintaan ke router saya, yang mengirimkan permintaan terkait NAS ke itu. router, pada gilirannya, memiliki alamat IP publik yang diberikan oleh penyedia internet saya. Ingat: di Uni Eropa, IP dianggap dalam arti hukum dari istilah ini. di Perancis, pengungkapan data tersebut adalah pelanggaran, dihukum hingga 5 tahun penjara dan denda hingga € 300k. Anda dapat membaca Secara teori, tidak ada yang akan tahu tentang subdomain saya, termasuk yang menunjuk ke alamat IP router saya. Informasi tentang Cloudflare Tunnel Data pribadi penal Pasal 226-2 Untuk mengamankan koneksi dengan NAS saya, saya menggunakan Let's Encrypt untuk mendapatkan sertifikat TLS. Let's Encrypt telah menjadi hadiah bagi individu untuk mendapatkan sertifikat gratis dibandingkan ketika seseorang harus membayar untuk mereka. Aye, ada rub! Let's Encrypt log sertifikat permintaan dalam registri sentral, yaitu Tetapi Let's Encrypt bukan satu-satunya: setiap penerbit sertifikat TLS publik melakukan hal yang sama (Google, Cloudflare, dll.). Kami dapat memeriksa log dari [Journal Terkenal Perancis] (Journal Terkenal Perancis) untuk melihat bagaimana mereka bocor data pribadi. Sertifikasi Transparansi https://crt.sh/ 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 Not Before 
 Not After 
 Common Name 
 Matching Identities 
 Issuer Name 
 
 
 
 
 
 
 2025-04-02 
 2025-07-01 
 redaction.lemonde.fr 
 redaction.lemonde.fr 
 C=US, O=Google Trust Services, CN=WE1 
 
 
 
 
 
 
 2025-04-03 
 2025-07-02 
 infos.lemonde.fr 
 infos.lemonde.fr 
 C=US, O=Google Trust Services, CN=WE1 
 
 
 
 
 
 
 2025-04-02 
 2025-07-01 
 abonnements.lemonde.fr 
 abonnements.lemonde.fr 
 C=US, O=Google Trust Services, CN=WE1 
 
 
 
 
 
 
 2025-04-02 
 2025-07-01 
 rec-festival.lemonde.fr 
 rec-festival.lemonde.fr 
 C=US, O=Let's Encrypt, CN=R11 
 
 
 
 
 
 
 2025-03-31 
 2025-06-29 
 salon-masters.lemonde.fr 
 salon-masters.lemonde.fr 
 C=US, O=Let's Encrypt, CN=R11 
 
 
 
 
 
 
 2018-04-04 
 2019-02-21 
 s2.shared.global.fastly.net 
 *.lemonde.fr lemonde.fr 
 C=BE, O=GlobalSign nv-sa, CN=GlobalSign CloudSSL CA - SHA256 - G3 
 
 
 
 
 
 
 2012-03-29 
 2014-03-29 
 application-facebook.lemonde.fr 
 application-facebook.lemonde.fr www.application-facebook.lemonde.fr 
 C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO High-Assurance Secure Server CA 
 
 
 
 
 
 
 2012-11-29 
 2015-12-03 
 s8.wac.edgecastcdn.net 
 application-facebook.lemonde.fr 
 C=US, O=DigiCert Inc,  , CN=DigiCert High Assurance CA-3 OU=www.digicert.com Tahun 2025-04-02 Tahun 2025-07-01 Penulis : Lemon.fr Penulis : Lemon.fr C = US, O = Layanan Kepercayaan Google, CN = WE1 Tahun 2025-04-03 Tahun 2025-07-02 Informasi.Lemonde.fr Informasi.Lemonde.fr C = US, O = Layanan Kepercayaan Google, CN = WE1 Tahun 2025-04-02 Tahun 2025-07-01 Pendaftaran. lemonde.fr Pendaftaran. lemonde.fr C = US, O = Layanan Kepercayaan Google, CN = WE1 Tahun 2025-04-02 Tahun 2025-07-01 Pengumuman dari Lemon.fr Pengumuman dari Lemon.fr C = US, O = Let's Encrypt, CN = R11 Tahun 2025-03-31 Tahun 2025-06-29 Rumah Tangga.Lemonde.fr Rumah Tangga.Lemonde.fr C = US, O = Let's Encrypt, CN = R11 Tahun 2018-04-04 Tahun 2019-02-21 dengan s2.shared.global.fastly.net *Pengguna.fr Liman.fr C=BE, O=GlobalSign nv-sa, CN=GlobalSign CloudSSL CA - SHA256 - G3 Tahun 2012-03-29 Tahun 2014-03-29 aplikasi-facebook.lemonde.fr aplikasi-facebook.lemonde.fr Situs web www.application-facebook.lemonde.fr C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO High-Assurance Secure Server CA Tahun 2012-11-29 Tahun 2015-12-03 s8.wac.edgecastcdn.net dari WEB aplikasi-facebook.lemonde.fr C = US, O = DigiCert Inc, CN = DigiCert High Assurance CA-3 OU = www.digicert.com Lihat seberapa mudah kita mendapatkan akses ke subdomain? Kesimpulan sederhana: setiap kali Anda meminta sertifikat TLS dari salah satu penerbit publik, sertifikat tersebut dicatat. dari subdomain, siapa pun dapat melacak IP dari catatan DNS, dan jika salah satu subdomain menunjuk ke rumah Anda, Anda dapat dengan mudah dilacak. and Lebih parah lagi: log tampaknya hadir selamanya. , Anda akan melihat log tertua adalah dari Digicert pada tahun 2013. Liman.fr Potensi Fixed Mari kita lihat perbaikan yang mungkin. 
 
 
 
 
 
 Menghapus subdomain: Ini adalah opsi jika Anda tidak membutuhkan akses eksternal. saya mungkin bisa, karena mengakses NAS saya dari jarak jauh tidak sangat penting. Menghapus HTTPS: Apakah saya perlu menjelaskan betapa buruknya ide itu? Mengabaikan subdomain: Alih-alih home.yourdomain.com, Anda mungkin memiliki sesuatu yang cryptic seperti xyz.yourdomain.com. Sayangnya, karena jumlah subdomain cukup terbatas, seseorang dapat memeriksa mereka satu per satu dan masih menemukan IP rumah Anda. Gunakan Cloudflare Tunnel: Saya menggunakan Cloudflare Tunnel untuk Home Assistant saya. saya tidak menemukan permintaan sertifikat di log. Alasan mungkin karena itu menggunakan sertifikat wildcard atau karena tidak masuk karena permintaan internal. Gunakan sertifikat wildcard: Permintaan sertifikat wildcard, yaitu, *.mydomain.com, dicatat seperti yang lain. Dari pool solusi di atas, dua tampaknya berlaku bagi saya: Cloudflare Tunnel dan sertifikat wildcard. 
 
 
 
 
 
 
 
 
 
 Cloudflare Tunnel 
 Wildcard 
 
 
 
 
 Pro 
 Just works 
 Learning opportunity Easier fixability if it fails 
 
 
 
 
 Con 
 Depends on Cloudflare 
 Complexity Security: the certificate can be used on any subdomain Untuk Hanya bekerja kesempatan belajar Memudahkan penanganan jika gagal dengan Bergantung pada Cloudflare Kompleksitas Keamanan: sertifikat dapat digunakan pada subdomain apa pun Dengan matriks keputusan sederhana ini, saya memilih untuk terus menggunakan Let's Encrypt, tetapi dengan sertifikat wildcard. Pendekatan Setiap permintaan sertifikat TLS ke penyedia publik dicatat dalam registri yang dapat diakses publik. permintaan sertifikat ke subdomain yang menunjuk ke rumah Anda (atau tempat lain yang tidak ingin Anda bagikan) dapat dilacak ke IP Anda melalui catatan DNS. Dalam posting berikut, saya akan menggunakan Let's Encrypt di Synology untuk meminta sertifikat kartu liar. Namun, ingat bahwa setelah permintaan Anda telah dicatat, mereka berada di sini selamanya. satu-satunya pilihan untuk mengklaim kembali privasi Anda adalah untuk pindah secara fisik ke tempat lain atau, kecuali itu, mengubah penyedia internet Anda, yang akan memberi Anda IP baru. To go further: 
 
 
 Sertifikasi Transparansi Pencarian Sertifikat Awalnya dipublikasikan di A Java Geek pada 21 September, 2025 Menggunakan Java Geek

Read all my posts!

Read My Stories

Follow @nicolas_frankel on Twitter

Audio ini diproduksi dalam bahasa asli cerita!

Hari saya belajar NAS saya dapat dilacak melalui log TLS

About Author

KOMENTAR

HANG TAG

ARTIKEL INI DISAJIKAN PADA

Related Stories

THE CAVERNS OF VENUS

And In The Open Air

The Crypto Trading Writing Contest: Submission Deadline Extended!

PROMISES FULFILLED.

THE CAVERNS OF VENUS

And In The Open Air

The Crypto Trading Writing Contest: Submission Deadline Extended!

PROMISES FULFILLED.

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps