Tout d'abord, je suis désolé pour mon mauvais anglais. Je l'apprends toujours. Ça y est:
Lorsque j'héberge un seul site Web par adresse IP, je peux utiliser le SSL "pur" (sans SNI), et l'échange de clés a lieu avant que l'utilisateur ne me dise même le nom d'hôte et le chemin qu'il souhaite récupérer. Après l'échange de clés, toutes les données peuvent être échangées en toute sécurité. Cela dit, si quelqu'un renifle le réseau, aucune information confidentielle n'est divulguée * (voir référence).
D'un autre côté, si j'héberge plusieurs sites Web par adresse IP, j'utiliserai probablement SNI, et donc mon visiteur de site Web doit me dire le nom d'hôte cible avant de lui fournir le bon certificat. Dans ce cas, quelqu'un qui renifle son réseau peut suivre tous les domaines du site Web auxquels il accède.
Y a-t-il des erreurs dans mes hypothèses? Sinon, cela ne représente-t-il pas un problème de confidentialité, en supposant que l'utilisateur utilise également un DNS crypté?
Note de bas de page: Je me rends également compte qu'un renifleur pourrait effectuer une recherche inversée sur l'adresse IP et découvrir quels sites Web ont été visités, mais le nom d'hôte voyageant en texte brut à travers les câbles réseau semble rendre le blocage de domaine par mot-clé plus facile pour les autorités de censure.