come fa iran blocca i domini nella connessione tls ma non in base a ip

Naviga le tue risposte
3

recentemente (la scorsa settimana?) Internet in Iran ha iniziato a bloccare nuovamente i siti https. lo hanno fatto prima ma quello era, per quanto ne so, basato su ip. ma sembra che il nuovo blocco non sia basato su IP ma basato sul dominio.

un test con %codice% mostra che Curl ha provato a connettersi allo stesso IP in entrambi i casi ma nel primo caso rimane bloccato in hello stage di https.

è basato su dominio tls? per supportare più siti Web sullo stesso IP ?. ma questo espone il dominio alla negoziazione iniziale? Ho sempre pensato che tls usato IP? Non sono un professionista della rete, mi dispiace se questo non è chiaro.

    
posta user141320 07.03.2017 - 19:28
fonte

2 risposte

2

Ciò che sembra vedere è relativo a Indicazione del nome del server , che è sostanzialmente l'equivalente TLS del% co_de di HTTP % intestazione.

Per lo stesso articolo di Wikipedia :

Therefore, with clients and servers that implement SNI, a server with a single IP address can serve a group of domain names for which it is impractical to get a common certificate.

In pratica, SNI è fondamentalmente un record inviato durante l'impostazione della sessione TLS: Network di browser ad alte prestazioni book fornisce una panoramica dell'handshake e fornisce anche una sezione specifica su SNI , riepilogato come:

The TLS+SNI workflow is identical to Host header advertisement in HTTP, where the client indicates the hostname of the site it is requesting: the same IP address may host many different domains, and both SNI and Host are required to disambiguate between them.

tl; dr : SNI consente a un osservatore di identificare il dominio specifico a cui si riferisce una richiesta TLS. Può anche essere utilizzato, così come recentemente segnalato da FireEye , per offuscare il obiettivo "reale" di una connessione - es puoi avere un SNI per google.com, ma un'intestazione Host: per youtube, e questo (al momento) ti permetterà di sfogliare contenuti da youtube senza esporre il fatto.

    
risposta data 09.04.2017 - 12:12
fonte
0

Forse questo articolo e il collegamento ipertestuale al suo interno possono aiutare.

link

    
risposta data 10.03.2017 - 04:10
fonte

Leggi altre domande sui tag

Come faccio a diagnosticare questo errore SSL? Qual è la chiave per rilevare tutti i dispositivi IoT nella tua organizzazione? [chiuso]