In che modo un paese blocca / censura un sito Web crittografato (HTTPS)?

TL; DR: TLS protegge solo il contenuto di un messaggio. Non i metadati.

Quando comunichi tramite la rete chiara, è importante ricordare che ci sono alcune parti di una determinata comunicazione che non possono essere protette utilizzando tecnologie standard. A meno che tu non usi qualcosa come TOR, il tuo ISP sarà in grado di determinare con chi stai parlando anche se stai usando TLS.

Per usare un'analogia, immagina di inviare una busta tramite il servizio postale. Il contenuto della busta è completamente inaccessibile a chiunque non sia il destinatario. Anche se un postino dovesse in qualche modo visionare il contenuto, non sarebbe in grado di comprenderlo (forse lo hai eseguito prima attraverso un codice Caesar? Hehe).

Tuttavia, per fare in modo che il servizio postale lo invii all'indirizzo corretto, l'esterno della busta deve essere contrassegnato con una rappresentazione chiaramente leggibile dell'indirizzo di destinazione. Se il servizio postale non voleva che qualcuno fosse in grado di inviare lettere a "Joe Schmoe, 123 Fake street", allora non potevano semplicemente consegnare alcuna lettera con quell'indirizzo.

Poiché il servizio postale non è in grado di leggere il contenuto del messaggio, non ha modo di identificare l'intento della lettera. L'unica informazione che hanno è il fatto che il destinatario previsto è Joe Schmoe. Non possono filtrare solo le lettere che ritengono maligne; è tutto o niente.

Allo stesso modo, il protocollo IP (il protocollo di routing su cui viene eseguito il TCP in cima) ha chiaramente contrassegnato i campi "mittente" e "destinatario". TLS non può crittografarlo per due motivi:

• TLS viene eseguito su TCP / IP e, quindi, non può modificare parti dei pacchetti che appartengono a tali protocolli.
• Se la sezione IP è stata crittografata, il servizio di trasporto (router ISP) non sarebbe in grado di identificare dove i pacchetti devono andare.

Il firewall che il tuo ISP o Paese sta forzando tutto il tuo traffico attraverso non può ispezionare il traffico TLS. Conoscono solo i metadati forniti dal protocollo TCP / IP. Hanno anche ritenuto che il sito a cui si desidera accedere sia più cattivo che buono, quindi rilasciano tutto il traffico da e verso il sito indipendentemente dal contenuto.

Esiste un metodo per proteggere anche i metadati delle comunicazioni online, ma è lento e non molto scalabile. I servizi nascosti TOR sono un tentativo di implementarlo. Ovviamente, i servizi nascosti funzionano solo all'interno della rete TOR, alla quale è possibile accedere solo collegandosi prima a una macchina attraverso la rete trasparente. Ciò significa che l'ISP o il firewall sanno ancora che stai trasmettendo i tuoi dati attraverso la cipolla. Non importa come ci provi, perderai sempre i alcuni metadati. Se lo volessero, potrebbero ripristinare tutte le connessioni ai nodi TOR in aggiunta al sito che stanno attualmente bloccando.

Se stai cercando di stabilire una connessione diretta a un IP specifico attraverso un firewall e il firewall ha regole esplicite per uccidere il traffico verso o da quel determinato IP, la connessione a quell'IP direttamente sarà sempre infruttuosa. Dovrai collegarti indirettamente, tramite TOR, una VPN o qualche altro servizio proxy.

Molti filtri web governativi sono implementati tramite il filtro DNS.

Per connettersi a https://www.example.com , il browser si connette innanzitutto al server DNS del provider di servizi Internet e richiede l'indirizzo IP di www.example.com . Quindi crea una connessione crittografata con l'IP che ottiene. Pertanto, il governo ordina agli ISP di configurare i propri server DNS in modo che non restituiscano alcun o un indirizzo IP falso per i siti Web che desiderano bloccare.

Per verificare ciò, è possibile configurare le impostazioni di rete in modo da utilizzare un server DNS diverso, ad esempio 8.8.8.8 di Google. Come farlo dipende dal tuo sistema operativo, ma una guida dovrebbe essere facile da trovare.

Un altro metodo di filtraggio web è per indirizzo IP stesso. Gli ISP configurano i loro firewall per bloccare tutto il traffico verso l'indirizzo IP di example.com . Tale filtro è più difficile da eludere rispetto a un filtro DNS, ma causa molto più danni collaterali. I web host di grandi dimensioni ospitano spesso migliaia o addirittura milioni di siti Web completamente indipendenti sullo stesso indirizzo IP. Quando gli ISP bloccano per IP, non possono bloccare un sito specifico senza bloccare anche tutti gli altri che condividono l'IP.

Quando ti connetti a un sito web HTTPS, il nome host del sito Web a cui ti stai connettendo viene trasmesso sulla rete in testo chiaro come parte di handshake TLS . Il certificato del server contiene sempre il nome host, perché è così che il server autentica stesso client: "Sono il server autorizzato a pubblicare contenuti per www.foo.example , in base a Bait Shop e Autorità di certificazione di Jim-Bob." I browser moderni ¹ inviano anche il nome host in chiaro dal client al server , in " Server Name Indication " messaggio che consente di ospitare molti siti Web HTTPS su un indirizzo IPv4.

Questo è necessario a causa del modo in cui funziona la matematica di configurare un canale sicuro. Fondamentalmente, il server deve fare un'asserzione crittograficamente imperdibile del suo nome host (e di alcune altre cose, soprattutto la sua "chiave pubblica"), in chiaro, prima che inizi il processo di "accordo chiave", altrimenti il cliente non può essere sicuro che non c'è un uomo nel mezzo che intercetta le comunicazioni.

Ma il rovescio della medaglia è che un firewall "deep packet inspection" può apprendere che stai cercando di connettersi a un sito web specifico e bloccare l'accesso (ad esempio forgiando pacchetti TCP RST) anche se non avrebbe potuto intercettare < em> contenuto delle tue comunicazioni con quel sito, e anche se non rivelerai mai il nome host del sito con cui vuoi comunicare in altro modo.

¹ in questo caso, "tutto ciò che è probabile incontrare al giorno d'oggi, con le eclatanti eccezioni di IE su Windows XP e il browser Android di serie prima della 3.0, sfortunatamente, entrambi sono più più comune di quanto vorremmo ".

HTTPS non nasconde e non può nascondere l'IP e il nome host di un sito Web o il fatto che ci si sta connettendo ad esso. Cripta solo il traffico inviato su quella connessione una volta stabilito .

Dato questo, è banale che qualcuno che controlla la linea interrompa qualsiasi connessione per un particolare sito. Ciò che HTTPS (si spera) impedisce loro di fare è monitorare o modificare le informazioni scambiate con il sito, ma il fatto che ci si stia connettendo è sempre visibile.

È possibile che il sito di destinazione stesso ti impedisca di accedervi dall'intervallo IP di origine in questione.

Conosco in prima persona molte grandi organizzazioni che bloccano i Paesi non per qualsiasi altra ragione che per ridurre al minimo l'esposizione agli hacker provenienti da quella regione.