Что такое отпечаток SSL?
Можно сказать, что каждый браузер обычно имеет фиксированный отпечаток SSL. Для обычных пользователей, если достаточно состояния по умолчанию, по умолчанию используется отпечаток SSL по умолчанию для браузера Google Chrome.

В основном вы можете установить количество и порядок наборов шифров, которые могут противостоять некоторым веб-сайтам, использующим метод JA3 для обнаружения отпечатков пальцев SSL. Как правило, каждый браузер имеет относительно фиксированный отпечаток SSL. При выполнении проектов с несколькими учетными записями или проектов, не связанных с ассоциацией, изменение отпечатка SSL может сыграть определенную роль. Однако, если вы не знаете, что такое отпечаток SSL, рекомендуется не связываться с ним, поскольку это может привести к обратным результатам.

Метод JA3 используется для сбора десятичных значений байтов следующих полей в клиентском пакете Hello: версия, принятые шифры, список расширений, эллиптическая кривая и формат эллиптической кривой. Затем разделите каждое поле с помощью "," и значения в каждом поле с помощью "-", объединив значения вместе по порядку.

JA3 — это метод создания отпечатков пальцев SSL/TLS-клиентов, которые должны легко создаваться на любой платформе и легко передаваться в целях анализа угроз.

Пример приветственного пакета клиента, просмотренного в Wireshark

Поля расположены в следующем порядке:

TLSVersion, Ciphers, Extensions, EllipticCurves, EllipticCurvePointFormats

пример:

769,47–53–5–10–49161–49162–49171–49172–50–56–19–4,0–10–11,23–24–25,0< /p>

Если в Client Hello нет расширений TLS, эти поля останутся пустыми.

769,4–5–10–9–100–98–3–6–19–18–99,

Эти строки затем хешируются с помощью MD5 для создания 32-символьного отпечатка пальца, который легко использовать и делиться им. Это отпечаток клиента JA3 TLS.

769,47–53–5–10–49161–49162–49171–49172–50–56–19–4,0–10–11,23–24–25,0 → ada70206e40642a3e4461f35503241d5769,4– 5–10–9– 100–98–3–6–19–18–99, → de350869b8c85de67a350c8d186f11e6

Нам также необходимо ввести некоторый код для учета Google GREASE (генерировать случайные расширения и поддерживать расширяемость), как описано здесь. Фактически Google использует этот механизм для предотвращения сбоев масштабируемости в экосистеме TLS. Однако JA3 полностью игнорирует эти значения, чтобы гарантировать, что программы, использующие GREASE, по-прежнему могут быть распознаны с помощью одного хэша JA3.

Веб-сайты, которые можно использовать для снятия отпечатков SSL:

https://browserleaks.com/ssl

Заключение

JA3 и JA3S – это метод анализа безопасности, основанный на отпечатке пальца TLS. Отпечатки пальцев JA3 могут указывать, как клиентские приложения обмениваются данными через TLS, а отпечатки пальцев JA3 могут указывать на ответы сервера. Если они объединены, они, по сути, генерируют отпечаток криптографического согласования между клиентом и сервером. Хотя методы обнаружения на основе TLS не обязательно являются панацеей или гарантированным сопоставлением с клиентскими приложениями, они всегда являются осью анализа безопасности.

Lalicat браузер с защитой от отпечатков пальцев разрабатывает собственный метод SSL, в основном для изменения отпечатка JA3 виртуального браузера, который не является исчерпывающим, но также очень простым и эффективным. Hope может помочь некоторым пользователям, стремящимся к перфекционизму.