L'ISP può bloccare in modo selettivo l'HTTPS? [duplicare]

Tutti i browser correnti fanno SNI (Server Name Indication) per rendere possibile l'impostazione di nomi host diversi sullo stesso IP ma con certificati diversi. Per farlo funzionare, il nome host del server di destinazione è incluso in chiaro nel pacchetto iniziale di handshake dal client (ClientHello).

Bloccando selettivamente il ClientHello se contiene stringhe specifiche all'interno dell'estensione SNI, un firewall può bloccare determinati siti SSL, anche senza influenzare altri siti SSL dietro lo stesso IP. Su firewall meno potenti (senza un'ispezione più approfondita) potresti semplicemente avere regole più ampie per bloccare l'accesso a specifici IP.

Poiché questo è SSL e il firewall non ha accesso al vero certificato non può inviare al client una pagina di errore corretta, quindi il client riceve uno strano messaggio di errore all'interno del browser perché la connessione è stata resettata o scade, a seconda su come i firewall gestiscono il blocco.

Tecnicamente, un ISP può bloccare qualsiasi traffico poiché è il tuo percorso verso il resto di Internet. Possono bloccare qualsiasi porta, sito web, ecc.

Se stai chiedendo se è possibile eseguire il downgrade di un sito richiesto con HTTPS a HTTP normale, è possibile che possano offrirti tale pagina. Ma non appare come HTTPS, vedresti l'URL come HTTP e non vedresti nessuna icona di blocco, ecc. A livello di pacchetto, HTTPS e HTTP sembrano diversi e forniscono informazioni diverse.

Cosa potrebbe fare un ISP

• Come operatore di rete, l'ISP potrebbe bloccare tutto il traffico verso / da alcuni indirizzi IP per la porta 443, che è la porta TCP standard utilizzata per HTTPS. Potrebbe essere una semplice regola del firewall. Per "blocco", intendo impedire che la connessione TCP venga stabilita del tutto. (L'invio di una pagina di rifiuto su HTTPS è un po 'più impegnativo - in teoria, non è possibile.)
• Se richiedi http://example.com/ e il server invierà normalmente un reindirizzamento HTTP che dice al tuo browser di passare a https://example.com/ , l'ISP potrebbe intercettare quella risposta di reindirizzamento.

Cosa non può fare un ISP

Supponiamo che l'ISP non sia in grado di decifrare o altrimenti di aggirare la crittografia.

• L'ISP non può distinguere tra una richiesta in https://example.com/some/permissible/location e https://example.com/some/objectionable/location , e quindi non può bloccare in modo selettivo gli URL all'interno di un sito web.
• L'ISP non può distinguere tra https://virtualhost1.example.com/ e https://virtualhost2.example.com/ , se entrambi gli host virtuali sono ospitati sullo stesso indirizzo IP e condividono un certificato SSL con caratteri jolly. Tuttavia, il DNS può essere falsificato per farlo accadere, vedi sotto.

Avvertimenti

• Se l'utente ignora oblivamente tutti gli avvisi di mancata corrispondenza dei certificati SSL, questo annulla la protezione di tipo man-in-the-middle fornita normalmente da SSL.
• Se il browser dell'utente riconosce un'autorità di certificazione corrotta o compromessa come autorevole, l'ISP potrebbe anche trarre vantaggio da tale trust mal riposto per decrittografare tutto il traffico HTTPS come se non fosse crittografato.
• L'ISP esegue un server DNS, e è probabile che tu usi il loro server DNS. Il loro server DNS può essere configurato per restituire risposte spoofate, in modo che virtualhost2.example.com o encrypted.google.com esegua il mapping su un indirizzo IP che bloccano.

Sì, possono. Ad esempio, le connessioni https a Google sono bloccate in Cina mentre l'utente può accedere ad altri siti Web tramite https, come Bing.