O que é uma impressão digital SSL?
Pode-se dizer que cada navegador geralmente tem uma impressão digital SSL fixa. Para usuários em geral, desde que o estado padrão seja suficiente, o padrão é a impressão digital SSL padrão do navegador Google Chrome.
Principalmente você pode definir o número e a ordem dos conjuntos de cifras, que podem resistir a alguns sites que usam o método JA3 para detectar impressões digitais SSL. Geralmente, cada navegador tem uma impressão digital SSL relativamente fixa. Ao fazer projetos multi-conta ou anti-associação, a alteração da impressão digital SSL pode desempenhar um determinado papel. No entanto, se você não sabe o que é uma impressão digital SSL, é recomendável ainda não mexer com ela, porque pode ser contraproducente.
O método JA3 é usado para coletar os valores decimais dos bytes dos seguintes campos no pacote Hello do cliente: versão, cifras aceitas, lista de extensões, curva elíptica e formato da curva elíptica. Em seguida, separe cada campo com "," e os valores em cada campo com "-", concatenando os valores juntos em ordem.
JA3 é um método para criar impressões digitais de cliente SSL/TLS que devem ser fáceis de gerar em qualquer plataforma e facilmente compartilhadas para fins de inteligência de ameaças.
Exemplo de pacote hello do cliente visualizado no Wireshark
A ordem dos campos é a seguinte:
TLSVersion, Ciphers, Extensions, EllipticCurves, EllipticCurvePointFormats
exemplo:
769,47–53–5–10–49161–49162–49171–49172–50–56–19–4,0–10–11,23–24–25,0< /p>
Se não houver extensões TLS no Client Hello, esses campos serão deixados em branco.
769,4–5–10–9–100–98–3–6–19–18–99,
Essas strings são então hash MD5 para gerar uma impressão digital de 32 caracteres que é fácil de usar e compartilhar. Esta é a impressão digital do cliente JA3 TLS.
769,47–53–5–10–49161–49162–49171–49172–50–56–19–4,0–10–11,23–24–25,0 → ada70206e40642a3e4461f35503241d5769,4– 5–10–9– 100–98–3–6–19–18–99, → de350869b8c85de67a350c8d186f11e6
Também precisamos introduzir algum código para contabilizar o GREASE (Gerar extensões aleatórias e manter a extensibilidade) do Google, conforme descrito aqui. Na verdade, o Google usa esse mecanismo para evitar falhas de escalabilidade no ecossistema TLS. No entanto, o JA3 ignora totalmente esses valores para garantir que os programas que usam GREASE ainda possam ser identificados com um único hash JA3.
Sites que podem ser usados para impressão digital SSL:
Conclusão
JA3 e JA3S são um método de análise de segurança baseado na impressão digital TLS. As impressões digitais JA3 podem indicar como os aplicativos clientes se comunicam por TLS e as impressões digitais JA3 podem indicar respostas do servidor. Se os dois forem combinados, eles essencialmente geram uma impressão digital da negociação criptográfica entre o cliente e o servidor. Embora os métodos de detecção baseados em TLS não sejam necessariamente uma panacéia ou um mapeamento garantido para aplicativos cliente, eles sempre são o eixo da análise de segurança.
Lalicat navegador anti-impressão digital design SSL personalizado, principalmente para alterar a impressão digital JA3 do navegador virtual, que não é abrangente, mas também muito simples e eficiente. A esperança pode ajudar alguns usuários que buscam o perfeccionismo.
Oferecemos 3 dias de teste gratuito para todos os novos usuários
Sem limitações nos recursos