Predtým, než pôjdem ďalej, vedzte, že nie som sieťový inžinier: možno ak pracujete v tejto oblasti, poznáte to po celú svoju kariéru, ale je to pre mňa úplne nové. Keďže pôvodný príspevok bol dosť dlhý, rozdelil som ho na dve časti: problém a riešenie. Situácia Vlastním svoju vlastnú doménu. Vytvoril som z nej viaceré poddomény. Niektoré z nich mapujú online služby, jeden z nich na Môjmu domovskému asistentovi a jednému môjmu NAS, ktorý je hosťovaný doma. Ten zrejme posiela žiadosti do môjho smerovača, ktorý mu posiela žiadosti súvisiace s NAS. Router má na druhej strane verejnú IP adresu, ktorú mi poskytol môj poskytovateľ internetu. v právnom zmysle tohto pojmu. vo Francúzsku je zverejnenie takýchto údajov trestný čin, ktorý môže byť potrestaný až 5 rokov väzenia a pokutou až do výšky 300 000 €. z francúzskeho trestného zákonníka, ak máte záujem o podrobnosti. teoreticky nikto by nevedel o mojich subdoménach, vrátane tej, ktorá poukazuje na IP adresu môjho smerovača. Súkromný tunel Cloudflare súkromné údaje penal Článok 226-2 Aby som zabezpečil pripojenie k môjmu NAS, používam Let's Encrypt na získanie certifikátu TLS. Let's Encrypt bol pre jednotlivcov prospešný, aby získali bezplatné certifikáty v porovnaní s tým, keď za ne museli platiť. Ale Let's Encrypt nie je jediný: každý verejný vydavateľ certifikátu TLS robí to isté (Google, Cloudflare atď.). Môžeme skontrolovať denníky [francúzskej slávnej noviny] (francúzskej slávnej noviny), aby sme zistili, ako unikajú osobné údaje. Certifikát transparentnosti https://crt.sh/ 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 Not Before 
 Not After 
 Common Name 
 Matching Identities 
 Issuer Name 
 
 
 
 
 
 
 2025-04-02 
 2025-07-01 
 redaction.lemonde.fr 
 redaction.lemonde.fr 
 C=US, O=Google Trust Services, CN=WE1 
 
 
 
 
 
 
 2025-04-03 
 2025-07-02 
 infos.lemonde.fr 
 infos.lemonde.fr 
 C=US, O=Google Trust Services, CN=WE1 
 
 
 
 
 
 
 2025-04-02 
 2025-07-01 
 abonnements.lemonde.fr 
 abonnements.lemonde.fr 
 C=US, O=Google Trust Services, CN=WE1 
 
 
 
 
 
 
 2025-04-02 
 2025-07-01 
 rec-festival.lemonde.fr 
 rec-festival.lemonde.fr 
 C=US, O=Let's Encrypt, CN=R11 
 
 
 
 
 
 
 2025-03-31 
 2025-06-29 
 salon-masters.lemonde.fr 
 salon-masters.lemonde.fr 
 C=US, O=Let's Encrypt, CN=R11 
 
 
 
 
 
 
 2018-04-04 
 2019-02-21 
 s2.shared.global.fastly.net 
 *.lemonde.fr lemonde.fr 
 C=BE, O=GlobalSign nv-sa, CN=GlobalSign CloudSSL CA - SHA256 - G3 
 
 
 
 
 
 
 2012-03-29 
 2014-03-29 
 application-facebook.lemonde.fr 
 application-facebook.lemonde.fr www.application-facebook.lemonde.fr 
 C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO High-Assurance Secure Server CA 
 
 
 
 
 
 
 2012-11-29 
 2015-12-03 
 s8.wac.edgecastcdn.net 
 application-facebook.lemonde.fr 
 C=US, O=DigiCert Inc,  , CN=DigiCert High Assurance CA-3 OU=www.digicert.com 2019-04-02 → 2017-07-01 Zoznam Vydavateľstvo: LEMONDE.FR Vydavateľstvo: LEMONDE.FR C = USA, O = Služby Google Trust Services, CN = WE1 2019-04-03 Zľavy 2017-07-02 → Inšpekcia.sk Inšpekcia.sk C = USA, O = Služby Google Trust Services, CN = WE1 2019-04-02 → 2017-07-01 Zoznam Predplatné.sk Predplatné.sk C = USA, O = Služby Google Trust Services, CN = WE1 2019-04-02 → 2017-07-01 Zoznam Názov festivalu: lemonde.fr Názov festivalu: lemonde.fr C = US, O = Let's Encrypt, CN = R11 2019-03-31 Zľavy 2019-06-29 Zľavy salón-masters.sk salón-masters.sk C = US, O = Let's Encrypt, CN = R11 2018 - 04 - 04 2019 - 02 - 21 s2.shared.global.fastly.net Zdieľať * Zoznamka.sk Ľadovec.sk C=BE, O=GlobalSign nv-sa, CN=GlobalSign CloudSSL CA - SHA256 - G3 2012-03-29 Výsledky 2014-03-29 Výsledky aplikácia-facebook.lemonde.fr aplikácia-facebook.lemonde.fr Webové stránky www.application-facebook.lemonde.fr C = GB, ST = Veľký Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO High-Assurance Secure Server CA 2012 - 11 - 29 Rok 2015-12-03 s8.wac.edgecastcdn.net Prehľad aplikácia-facebook.lemonde.fr C=US, O=DigiCert Inc , CN = DigiCert High Assurance CA-3 Vysoká záruka OU = www.digicert.com Pozrite sa, ako ľahko získavame prístup k subdoménam? Záver je jednoduchý: zakaždým, keď požiadate o certifikát TLS od jedného z verejných emitentov, je zaznamenaný z poddomény, ktokoľvek môže sledovať IP z DNS záznamov, a ak jedna z poddomén poukazuje na váš domov, ste ľahko sledovateľný. and Ešte horšie: denníky sa zdajú byť navždy prítomné. , uvidíte, že najskorší záznam je z Digicert v roku 2013. Ľadovec.sk Možné fixácie Pozrime sa na možné opravy. 
 
 
 
 
 
 Odstrániť subdoménu: Je to možnosť, ak nepotrebujete externý prístup. Mohol by som, pretože prístup k môjmu NAS na diaľku nie je mimoriadne dôležitý. Odstrániť HTTPS: Potrebujem vysvetliť, aký zlý nápad je? Obfuscate subdomain: Namiesto home.yourdomain.com môžete mať niečo šifrované ako xyz.yourdomain.com. Bohužiaľ, pretože počet subdomainov je pomerne obmedzený, môžete ich skontrolovať jeden po druhom a stále umiestniť IP adresu vášho domova. Použitie tunela Cloudflare: Pre svojho domáceho asistenta používam tunel Cloudflare.Nenašiel som jeho požiadavky na certifikáty v denníkoch.Dôvodom môže byť, že buď používa certifikáty wildcard, alebo sa neprihlasuje, pretože jeho požiadavky sú interné. Používanie certifikátov wildcard: Žiadosti o certifikát Wildcard, t.j. *.mydomain.com, sa zaznamenávajú ako všetky ostatné. Z vyššie uvedeného súboru riešení sa mi zdajú dve platné: Cloudflare Tunnel a wildcard certifikáty. 
 
 
 
 
 
 
 
 
 
 Cloudflare Tunnel 
 Wildcard 
 
 
 
 
 Pro 
 Just works 
 Learning opportunity Easier fixability if it fails 
 
 
 
 
 Con 
 Depends on Cloudflare 
 Complexity Security: the certificate can be used on any subdomain Pro pre Jednoducho funguje Vzdelávacie príležitosti Jednoduchšia fixácia, ak zlyhá s Záleží na Cloudflare Komplexnosť Bezpečnosť: certifikát je možné použiť na ľubovoľnej subdoméne S touto jednoduchou rozhodovacou matricou som sa rozhodol naďalej používať Let's Encrypt, ale s certifikátmi wildcard. Zhrnutie Žiadosti o certifikáty TLS od verejného poskytovateľa sú zaznamenané vo verejne dostupnom registri. Žiadosti o certifikáty do poddomén, ktoré poukazujú na váš domov (alebo na iné miesta, ktoré nechcete zverejniť), možno sledovať na vašu IP adresu prostredníctvom záznamov DNS. V nasledujúcom príspevku, budem používať Let's Encrypt na Synology požiadať o wildcard certifikát. Avšak pamätajte, že akonáhle sú vaše požiadavky zaznamenané, sú tu navždy.Jediné možnosti, ako získať späť vaše súkromie, sú buď fyzicky presunúť na iné miesto alebo, okrem toho, zmeniť svojho poskytovateľa internetu, ktorý vám poskytne novú IP adresu. To go further: 
 
 
 Certifikát transparentnosti Certifikát vyhľadávania Pôvodne publikované v A Java Geek dňa 21. septembra 2025 Ako používať Java Geek

Read all my posts!

Read My Stories

Follow @nicolas_frankel on Twitter

Tento zvuk je vyrobený v pôvodnom jazyku príbehu!

Deň, keď som sa dozvedel, že môj NAS bol sledovateľný pomocou protokolov TLS

About Author

KOMENTÁRE

ZAVISTE ŠTÍTKY

TENTO ČLÁNOK BOL PREDSTAVENÝ V

Related Stories

16 Best Sklearn Datasets for Building Machine Learning Models

Mutmut: a Python mutation testing system

112 Stories To Learn About Hackernoon Community

THE CRAB-SPIDER

16 Best Sklearn Datasets for Building Machine Learning Models

Mutmut: a Python mutation testing system

112 Stories To Learn About Hackernoon Community

THE CRAB-SPIDER

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps