In che modo un paese blocca / censura un sito Web crittografato (HTTPS)?

47

Dato che Site X utilizza HTTPS, come può essere bloccato da un paese?

Il mio browser legge: crittografia a 128 bit | ECDHE_RSA come scambio di chiavi.

Dico che è bloccato da quando uso Tor, funziona bene.

Una cosa importante da sottolineare è che non è bloccato nel senso tipico che siamo abituati a vedere, che mostra chiaramente una pagina che dice che è bloccata, invece, il sito X è bloccato in un modo che il mio browser non carica la pagina e visualizza l'errore:

This webpage is not available, Error code: ERR_CONNECTION_RESET

per la versione HTTPS e quella pagina "bloccata" normale quando si richiede la versione HTTP.

Tieni presente che nessun altro sito HTTPS è bloccato ! Solo questo! Presumo che questa sia una prova che esclude il blocco delle porte e il blocco dei protocolli. Tuttavia, lascia DPI; ma ci sono altri siti Web bloccati da HTTP che hanno ancora funzionante la versione HTTPS! Se possono DPI-block site X , perché non possono bloccare gli altri siti HTTPS allo stesso modo?

    
posta Mars 03.08.2014 - 12:22
fonte

6 risposte

44

TL; DR: TLS protegge solo il contenuto di un messaggio. Non i metadati.

Quando comunichi tramite la rete chiara, è importante ricordare che ci sono alcune parti di una determinata comunicazione che non possono essere protette utilizzando tecnologie standard. A meno che tu non usi qualcosa come TOR, il tuo ISP sarà in grado di determinare con chi stai parlando anche se stai usando TLS.

Per usare un'analogia, immagina di inviare una busta tramite il servizio postale. Il contenuto della busta è completamente inaccessibile a chiunque non sia il destinatario. Anche se un postino dovesse in qualche modo visionare il contenuto, non sarebbe in grado di comprenderlo (forse lo hai eseguito prima attraverso un codice Caesar? Hehe).

Tuttavia, per fare in modo che il servizio postale lo invii all'indirizzo corretto, l'esterno della busta deve essere contrassegnato con una rappresentazione chiaramente leggibile dell'indirizzo di destinazione. Se il servizio postale non voleva che qualcuno fosse in grado di inviare lettere a "Joe Schmoe, 123 Fake street", allora non potevano semplicemente consegnare alcuna lettera con quell'indirizzo.

Poiché il servizio postale non è in grado di leggere il contenuto del messaggio, non ha modo di identificare l'intento della lettera. L'unica informazione che hanno è il fatto che il destinatario previsto è Joe Schmoe. Non possono filtrare solo le lettere che ritengono maligne; è tutto o niente.

Allo stesso modo, il protocollo IP (il protocollo di routing su cui viene eseguito il TCP in cima) ha chiaramente contrassegnato i campi "mittente" e "destinatario". TLS non può crittografarlo per due motivi:

  • TLS viene eseguito su TCP / IP e, quindi, non può modificare parti dei pacchetti che appartengono a tali protocolli.
  • Se la sezione IP è stata crittografata, il servizio di trasporto (router ISP) non sarebbe in grado di identificare dove i pacchetti devono andare.

Il firewall che il tuo ISP o Paese sta forzando tutto il tuo traffico attraverso non può ispezionare il traffico TLS. Conoscono solo i metadati forniti dal protocollo TCP / IP. Hanno anche ritenuto che il sito a cui si desidera accedere sia più cattivo che buono, quindi rilasciano tutto il traffico da e verso il sito indipendentemente dal contenuto.

Esiste un metodo per proteggere anche i metadati delle comunicazioni online, ma è lento e non molto scalabile. I servizi nascosti TOR sono un tentativo di implementarlo. Ovviamente, i servizi nascosti funzionano solo all'interno della rete TOR, alla quale è possibile accedere solo collegandosi prima a una macchina attraverso la rete trasparente. Ciò significa che l'ISP o il firewall sanno ancora che stai trasmettendo i tuoi dati attraverso la cipolla. Non importa come ci provi, perderai sempre i alcuni metadati. Se lo volessero, potrebbero ripristinare tutte le connessioni ai nodi TOR in aggiunta al sito che stanno attualmente bloccando.

Se stai cercando di stabilire una connessione diretta a un IP specifico attraverso un firewall e il firewall ha regole esplicite per uccidere il traffico verso o da quel determinato IP, la connessione a quell'IP direttamente sarà sempre infruttuosa. Dovrai collegarti indirettamente, tramite TOR, una VPN o qualche altro servizio proxy.

    
risposta data 03.08.2014 - 15:51
fonte
32

Molti filtri web governativi sono implementati tramite il filtro DNS.

Per connettersi a https://www.example.com , il browser si connette innanzitutto al server DNS del provider di servizi Internet e richiede l'indirizzo IP di www.example.com . Quindi crea una connessione crittografata con l'IP che ottiene. Pertanto, il governo ordina agli ISP di configurare i propri server DNS in modo che non restituiscano alcun o un indirizzo IP falso per i siti Web che desiderano bloccare.

Per verificare ciò, è possibile configurare le impostazioni di rete in modo da utilizzare un server DNS diverso, ad esempio 8.8.8.8 di Google. Come farlo dipende dal tuo sistema operativo, ma una guida dovrebbe essere facile da trovare.

Un altro metodo di filtraggio web è per indirizzo IP stesso. Gli ISP configurano i loro firewall per bloccare tutto il traffico verso l'indirizzo IP di example.com . Tale filtro è più difficile da eludere rispetto a un filtro DNS, ma causa molto più danni collaterali. I web host di grandi dimensioni ospitano spesso migliaia o addirittura milioni di siti Web completamente indipendenti sullo stesso indirizzo IP. Quando gli ISP bloccano per IP, non possono bloccare un sito specifico senza bloccare anche tutti gli altri che condividono l'IP.

    
risposta data 03.08.2014 - 13:11
fonte
19

Quando ti connetti a un sito web HTTPS, il nome host del sito Web a cui ti stai connettendo viene trasmesso sulla rete in testo chiaro come parte di handshake TLS . Il certificato del server contiene sempre il nome host, perché è così che il server autentica stesso client: "Sono il server autorizzato a pubblicare contenuti per www.foo.example , in base a Bait Shop e Autorità di certificazione di Jim-Bob." I browser moderni 1 inviano anche il nome host in chiaro dal client al server , in " Server Name Indication " messaggio che consente di ospitare molti siti Web HTTPS su un indirizzo IPv4.

Questo è necessario a causa del modo in cui funziona la matematica di configurare un canale sicuro. Fondamentalmente, il server deve fare un'asserzione crittograficamente imperdibile del suo nome host (e di alcune altre cose, soprattutto la sua "chiave pubblica"), in chiaro, prima che inizi il processo di "accordo chiave", altrimenti il cliente non può essere sicuro che non c'è un uomo nel mezzo che intercetta le comunicazioni.

Ma il rovescio della medaglia è che un firewall "deep packet inspection" può apprendere che stai cercando di connettersi a un sito web specifico e bloccare l'accesso (ad esempio forgiando pacchetti TCP RST) anche se non avrebbe potuto intercettare < em> contenuto delle tue comunicazioni con quel sito, e anche se non rivelerai mai il nome host del sito con cui vuoi comunicare in altro modo.

1 in questo caso, "tutto ciò che è probabile incontrare al giorno d'oggi, con le eclatanti eccezioni di IE su Windows XP e il browser Android di serie prima della 3.0, sfortunatamente, entrambi sono più più comune di quanto vorremmo ".

    
risposta data 03.08.2014 - 21:48
fonte
4

HTTPS non nasconde e non può nascondere l'IP e il nome host di un sito Web o il fatto che ci si sta connettendo ad esso. Cripta solo il traffico inviato su quella connessione una volta stabilito .

Dato questo, è banale che qualcuno che controlla la linea interrompa qualsiasi connessione per un particolare sito. Ciò che HTTPS (si spera) impedisce loro di fare è monitorare o modificare le informazioni scambiate con il sito, ma il fatto che ci si stia connettendo è sempre visibile.

    
risposta data 03.08.2014 - 19:37
fonte
2

Istituzioni e società [ad es. provider di hotspot] generalmente si occupano di questo in due modi:

  • Istruire i server DNS per puntare ad altri IP: questo è un ostacolo debole, poiché gli utenti tecnicamente esperti possono facilmente cambiare il loro servizio DNS e utilizzati quando non è veramente importante bloccare un sito. Credo che questo sia ciò che, ad esempio, fa il governo italiano: agli ISP nazionali viene chiesto di cambiare i loro server DNS in modo che le richieste al sito bannato vengano invece reindirizzate a una pagina ospitata dal governo.
  • Blocco delle connessioni su base IP, piuttosto che su base di dominio: questo normalmente richiede un proxy trasparente (particolarmente utilizzato dai provider di hotspot e simili) o un firewall con ispezione deep packet (ad esempio il firewall cinese). Per impedire all'utente di connettersi a IP bannati, vengono utilizzate alcune tecniche, tra cui l'iniezione di pacchetti di ripristino TCP, il reindirizzamento di pacchetti o semplicemente il loro rilascio.
risposta data 03.08.2014 - 15:57
fonte
0

È possibile che il sito di destinazione stesso ti impedisca di accedervi dall'intervallo IP di origine in questione.

Conosco in prima persona molte grandi organizzazioni che bloccano i Paesi non per qualsiasi altra ragione che per ridurre al minimo l'esposizione agli hacker provenienti da quella regione.

    
risposta data 03.08.2014 - 14:17
fonte

Leggi altre domande sui tag