L'ISP può bloccare HTTPS in modo selettivo, ad esempio, alcuni siti Web non sono accessibili tramite HTTPS mentre altri possono essere?
Tutti i browser correnti fanno SNI (Server Name Indication) per rendere possibile l'impostazione di nomi host diversi sullo stesso IP ma con certificati diversi. Per farlo funzionare, il nome host del server di destinazione è incluso in chiaro nel pacchetto iniziale di handshake dal client (ClientHello).
Bloccando selettivamente il ClientHello se contiene stringhe specifiche all'interno dell'estensione SNI, un firewall può bloccare determinati siti SSL, anche senza influenzare altri siti SSL dietro lo stesso IP. Su firewall meno potenti (senza un'ispezione più approfondita) potresti semplicemente avere regole più ampie per bloccare l'accesso a specifici IP.
Poiché questo è SSL e il firewall non ha accesso al vero certificato non può inviare al client una pagina di errore corretta, quindi il client riceve uno strano messaggio di errore all'interno del browser perché la connessione è stata resettata o scade, a seconda su come i firewall gestiscono il blocco.
Tecnicamente, un ISP può bloccare qualsiasi traffico poiché è il tuo percorso verso il resto di Internet. Possono bloccare qualsiasi porta, sito web, ecc.
Se stai chiedendo se è possibile eseguire il downgrade di un sito richiesto con HTTPS a HTTP normale, è possibile che possano offrirti tale pagina. Ma non appare come HTTPS, vedresti l'URL come HTTP e non vedresti nessuna icona di blocco, ecc. A livello di pacchetto, HTTPS e HTTP sembrano diversi e forniscono informazioni diverse.
http://example.com/
e il server invierà normalmente un reindirizzamento HTTP che dice al tuo browser di passare a https://example.com/
, l'ISP potrebbe intercettare quella risposta di reindirizzamento. Supponiamo che l'ISP non sia in grado di decifrare o altrimenti di aggirare la crittografia.
https://example.com/some/permissible/location
e https://example.com/some/objectionable/location
, e quindi non può bloccare in modo selettivo gli URL all'interno di un sito web. https://virtualhost1.example.com/
e https://virtualhost2.example.com/
, se entrambi gli host virtuali sono ospitati sullo stesso indirizzo IP e condividono un certificato SSL con caratteri jolly. Tuttavia, il DNS può essere falsificato per farlo accadere, vedi sotto. virtualhost2.example.com
o encrypted.google.com
esegua il mapping su un indirizzo IP che bloccano. Sì, possono. Ad esempio, le connessioni https a Google sono bloccate in Cina mentre l'utente può accedere ad altri siti Web tramite https, come Bing.
Leggi altre domande sui tag tls