Security TLS/SSL握手（证书等）中泄漏了哪些信息？

我想了解TLS在与被动拦截器握手时泄漏了什么样的信息，特别是：

客户端证书（如果有）是否以明文形式发送

服务器证书是否以明文形式发送

如果使用SNI（服务器名称指示），是否以明文形式发送

发送的任何其他泄露信息

如果它们是以明文形式发送的，是否有任何变通方法可以强制它们以密文形式发送

客户端证书（如果有）是否以明文形式发送

如果它真的被发送了，是的，除非这是一个重新握手

服务器证书是否以明文形式发送

是的，除非这是一个复赛

如果使用SNI（服务器名称指示），是否以明文形式发送

是的，除非这是一个复赛

发送的任何其他泄露信息

双方的IP地址和端口号以及当前的TCP接收窗口和序列号在clear中可见

如果它们是以明文形式发送的，是否有任何变通方法可以强制它们以密文形式发送

只有先握手，这是一种无限的倒退

证书中没有私密性。你到底想保护什么

客户端证书（如果有）是否以明文形式发送

如果它真的被发送了，是的，除非这是一个重新握手

服务器证书是否以明文形式发送

是的，除非这是一个复赛

如果使用SNI（服务器名称指示），是否以明文形式发送

是的，除非这是一个复赛

发送的任何其他泄露信息

双方的IP地址和端口号以及当前的TCP接收窗口和序列号在clear中可见

如果它们是以明文形式发送的，是否有任何变通方法可以强制它们以密文形式发送

只有先握手，这是一种无限的倒退

---

证书中没有私密性。您到底想保护什么？

此问题似乎与主题无关，因为它与编程无关，更适合安全性。stackexchange.com此问题似乎与主题无关，因为它与编程无关，更适合安全性。stackexchange.com想要隐藏客户端的一个可能原因证书数据包含实际用户名（例如“

CN=John Smith

”）。当登录到保密服务时，如果第三方的匿名性很重要，这可能被视为泄露个人数据。在这种情况下，重新协商有帮助。对于服务器证书来说，这通常不是问题。另一个可能的原因是对国家的internet防火墙隐藏域。要隐藏客户端证书数据的一个可能原因是它包含实际用户名（例如“

CN=John Smith

”）。当登录到保密服务时，如果第三方的匿名性很重要，这可能被视为泄露个人数据。在这种情况下，重新协商有帮助。这通常不是服务器证书的问题。另一个可能的原因是对国家的互联网防火墙隐藏域。