Dấu vân tay SSL là gì?
Có thể nói rằng mỗi trình duyệt thường có một vân tay SSL cố định. Đối với người dùng phổ thông, chỉ cần trạng thái mặc định là đủ, mặc định là dấu vân tay SSL mặc định của trình duyệt Google chrome.

Về cơ bản, bạn có thể đặt số lượng và thứ tự của bộ mật mã, có thể chống lại một số trang web sử dụng phương pháp JA3 để phát hiện dấu vân tay SSL. Nói chung, mỗi trình duyệt có một dấu vân tay SSL tương đối cố định. Khi thực hiện các dự án nhiều tài khoản hoặc chống liên kết, việc thay đổi dấu vân tay SSL có thể đóng một vai trò nhất định. Tuy nhiên, nếu bạn không biết dấu vân tay SSL là gì, thì bạn vẫn không nên loay hoay với nó vì nó có thể phản tác dụng.

Phương pháp JA3 được sử dụng để thu thập các giá trị thập phân của các byte thuộc các trường sau trong gói Hello của máy khách: phiên bản, mật mã được chấp nhận, danh sách tiện ích mở rộng, đường cong elip và định dạng đường cong elip. Sau đó, tách từng trường bằng "," và các giá trị trong từng trường bằng "-", nối các giá trị lại với nhau theo thứ tự.

JA3 là một phương pháp để tạo dấu vân tay máy khách SSL/TLS, dễ dàng tạo trên mọi nền tảng và dễ dàng chia sẻ cho mục đích thông tin tình báo về mối đe dọa.

Ví dụ về gói chào khách hàng được xem trong Wireshark

Thứ tự các trường như sau:

TLSVersion, Ciphers, Extensions, EllipticCurves, EllipticCurvePointFormats

ví dụ:

769,47–53–5–10–49161–49162–49171–49172–50–56–19–4,0–10–11,23–24–25,0< /p>

Nếu không có phần mở rộng TLS trong Client Hello, các trường này sẽ để trống.

769,4–5–10–9–100–98–3–6–19–18–99,

Những chuỗi này sau đó được băm MD5 để tạo ra một dấu vân tay 32 ký tự dễ sử dụng và chia sẻ. Đây là dấu vân tay máy khách JA3 TLS.

769,47–53–5–10–49161–49162–49171–49172–50–56–19–4,0–10–11,23–24–25,0 → ada70206e40642a3e4461f35503241d5769,4– 5–10–9– 100–98–3–6–19–18–99, → de350869b8c85de67a350c8d186f11e6

Chúng tôi cũng cần giới thiệu một số mã để giải thích GREASE (Tạo tiện ích mở rộng ngẫu nhiên và khả năng mở rộng bền vững) của Google, như được mô tả tại đây. Trên thực tế, Google sử dụng cơ chế này để ngăn chặn các lỗi về khả năng mở rộng trong hệ sinh thái TLS. Tuy nhiên, JA3 hoàn toàn bỏ qua các giá trị này để đảm bảo rằng các chương trình sử dụng GREASE vẫn có thể được lấy dấu vân tay bằng một hàm băm JA3 duy nhất.

Các trang web có thể được sử dụng để lấy dấu vân tay SSL:

https://browserleaks.com/ssl

Kết luận

JA3 và JA3S là phương pháp phân tích bảo mật dựa trên dấu vân tay TLS. Dấu vân tay JA3 có thể cho biết cách ứng dụng khách giao tiếp qua TLS và dấu vân tay JA3 có thể cho biết phản hồi của máy chủ. Nếu cả hai được kết hợp với nhau, về cơ bản chúng sẽ tạo ra dấu vết của quá trình đàm phán mật mã giữa máy khách và máy chủ. Mặc dù các phương pháp phát hiện dựa trên TLS không nhất thiết phải là thuốc chữa bách bệnh hoặc đảm bảo ánh xạ tới các ứng dụng khách, nhưng chúng luôn là trục phân tích bảo mật.

Lalicat trình duyệt chống vân tay thiết kế phương thức tùy chỉnh SSL, chủ yếu để thay đổi vân tay JA3 của trình duyệt ảo, không toàn diện, nhưng cũng rất đơn giản và hiệu quả. Hy vọng có thể giúp ích cho một số người dùng theo đuổi chủ nghĩa hoàn hảo.