TLS会话和DNSCrypt

Question

DNSCrypt已对DNS流量(请求和响应)进行了加密。在这种情况下，在我的https://www.example.com会话期间，第三方是否可以读取传输中的主机名( /destination IP地址)？实际上，我想要澄清的是，在TLS会话上下文中，是什么使得主机名对其他人可见-只显示未加密的DNS流量，还是同时显示未加密的DNS和对目标服务器的初始请求？

Answer 1

主机名是TLS握手的Server Name Indication (SNI)扩展的一部分。当使用此扩展时，它在握手的ClientHello部分内以明文发送。当前所有的浏览器都使用SNI。

除此之外，主机名通常是服务器证书的一部分。在SSL握手期间，服务器也以明文形式发送证书。

这意味着DNSCrypt只保护DNS查找，没有其他保护。

顺便说一句，对于这类问题更好的论坛是security.stackexchange.com。