SNIは私のWebサイト訪問者のプライバシーの問題を表しますか？

まず、英語が下手でごめんなさい。私はまだそれを学んでいます。ここに行く：

IPアドレスごとに1つのWebサイトをホストする場合、「純粋な」SSL（SNIなし）を使用でき、ユーザーが取得したいホスト名とパスをユーザーに通知する前にキー交換が発生します。鍵交換後、すべてのデータを安全に交換できます。とはいえ、誰かが偶然ネットワークを盗聴したとしても、機密情報は漏洩しません*（脚注を参照）。

一方、IPアドレスごとに複数のWebサイトをホストする場合は、おそらくSNIを使用するため、Webサイトの訪問者は、適切な証明書を提供する前に、ターゲットホスト名を通知する必要があります。この場合、自分のネットワークを盗聴した誰かが、自分がアクセスしているすべてのWebサイトドメインを追跡できます。

私の仮定に誤りはありますか？そうでない場合、ユーザーが暗号化されたDNSも使用していることを前提として、これはプライバシーの問題を表していませんか？

脚注：スニファーがIPアドレスを逆引きして、どのWebサイトにアクセスしたかを確認できることも理解していますが、ネットワークケーブルを介してプレーンテキストで移動するホスト名は、検閲当局にとってキーワードベースのドメインブロッキングを容易にするようです。

あなたの分析は正しくありません。SNIを使用すると、使用しない場合よりも安全です。

SNIがない場合、IPアドレスはホストを一意に識別します。したがって、IPアドレスを判別できる人なら誰でもホストを判別できます。

SNIでは、IPアドレスはホストを一意に識別しません。誰かが実際に傍受してトラフィックの一部を確認し、正確なホストを特定する必要があります。これは、単にIPアドレスを取得するよりも困難です。

したがって、SNIを使用する場合と使用しない場合の方が、（少し）安全です。

パケットデータの侵入型分析に基づいてブロックするユーザーは、IPアドレスに基づいてブロックすることになります。それらはSNIの有無にかかわらずIPアドレスに基づいて「悪いもの」をブロックします。

しかし、あなたの質問に対する答えは「はい」です。SNIはプライバシーの問題を表します。SNIを使用すると、トラフィックを傍受できる誰かがIPアドレスに加えてホスト名を取得します。

あなたが正しいです。SNIは、ビジターのプライバシーに関する主要な懸念事項です。SNIは、ビジターがISPおよび他のパッシブリスニングパーティに接続する正確なWebサイトを公開します。しかし、その後、DNSもそうです...まあ...慣れました：グーグルはこれを修正しています：-

https://thehackernews.com/2017/10/android-dns-over-tls.html

IPアドレスを知っていても、ISPがそのIPアドレス上にどのWebサイトがあるかはわかりません。ただし、積極的に外に出て自分自身を見ていない限り、これは顧客のパケットを受動的に盗聴するのとはまったく異なります。