stereo_sanctity: ENCRYPTED SNI ARE COMING TO TLS 1.3

Настроение:	working
Музыка:	The Radiation Flowers - Summer Loop (2017)
Entry tags:	censorship, encryption, internet

ENCRYPTED SNI ARE COMING TO TLS 1.3
Не прошло и десяти лет, как разработчики браузеров закрывают "особенность" инициации TLS-соединения, которую вовсю использовали цензоры повсеместно.

"Особенность" эта называется SNI (Server Name Identification), и состоит в том, что прежде чем установить шифрованное соединение с сервером, ваш браузер пересылает имя домена, куда желает направиться, в незашифрованном виде. Что и позволяет модулям DPI вклиниваться в работу и блокировать соединение -- если переданный в открытом виде домен находится в списке нежелательных.

Encrypted SNI, в сочетании с поддержкой DNS-over-HTTPs в браузерах сделает большинство интегрированных в последние годы в сети РФ средств DPI-контроля траффика ненужными в силу невозможности выполнять цензурные задачи, а роскомпозор заставит изыскивать новые способы блокировки контента (например, создание отдельного от цивилизованного мира интернета-чебурашки, как у китайцев).

Про развитие технологии Encrypted SNI можно почитать вот здесь.

А про DNS-over-HTTPs вот здесь.

Эксперты с Hacker News обещают повальное внедрение этих технологий к 2020.

(Добавить комментарий)

	polytheme 2018-12-26 23:46 (ссылка)
	Но это же не мешает блокировать IP. (Ответить) (Ветвь дискуссии)

stereo_sanctity
2018-12-27 15:09 (ссылка)

Это да, но для сайтов за CloudFlare например уже работать не будет, там десяток айпи на сотни тысяч сайтов. До eSNI такое можно было заблокировать через обработку hostname при установке шифрованного соединения, а теперь никак. А CloudFlare раздает фришные планы для маленьких сайтов. Так что придется роскомнадзору теперь несладко.

(Ответить) (Уровень выше) (Ветвь дискуссии)

polytheme
2018-12-27 15:14 (ссылка)

как я их понимаю, они просто заблокируют нахуй всех облачных провайдеров.
собственно, именно это начинало происходить, когда роскомговно взбесилось
на телеграм и начало банить айпишники гугла и амазона (у телеграма-то
доменов вообще нет).

то есть в мягком сценарии они будут требовать у провайдера, чтобы
они снесли такого-то.

в жестком - наученные горьким опытом, предупредят норот за месяц,
что такого-то провайдера будем гасить, собирайте манатки.

у Яндекса как раз появились облака сейчас. ну вот туда, типа.
заодно поддержим отечественного производителя.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	stereo_sanctity 2019-01-05 13:02 (ссылка)
	Забавная штука яндексные облака, а там рега по паспорту наверное ? Это ж можно невозбранно нарушать цензуру, и гарантированно не забанят (Ответить) (Уровень выше) (Ветвь дискуссии)

	polytheme 2019-01-06 12:59 (ссылка)
	Там (как и во всех почти облаках) привязываешь кредитную карточку (можно бомжа зарегать, в принципе). (Ответить) (Уровень выше)

	stereo_sanctity 2019-01-05 13:09 (ссылка)
	Хотя не, по любой абузе будут сразу банить вне зависимости от гражданства арендатора хостинга. Даже тут полное дерьмо. (Ответить) (Уровень выше)

	polytheme 2018-12-27 18:50 (ссылка)
	https://politros.com/134545-za-runetom-budushee-ekspert-nazval-zakonoproekt-ob-avtonomnosti-russkogo-interneta-podushkoi-bezopasnosti Ну собсно чебурнет почти не маскируется. Отговорки в духе Пономарева. (Ответить) (Уровень выше) (Ветвь дискуссии)

(Анонимно)
2019-01-05 13:00 (ссылка)

Почитал оный закон, там полный pwn & expunge teh internez

http://sozd.parliament.gov.ru/bill/608767-7

> Собственники или владельцы технологических сетей
связи, а также иные лица, имеющие номера автономных систем,
обязаны обеспечивать:
установку в своей сети связи технических средств контроля
за соблюдением законодательства Российской Федерации,
предусматривающего ограничение доступа к информации,
требования к которым устанавливаются федеральным органом
исполнительной власти в области связи;
реализацию установленных федеральным органом
исполнительной власти в области связи по согласованию с
уполномоченными государственными органами, осуществляющими
оперативно-розыскную деятельность или обеспечение
безопасности Российской Федерации, требований к сетям и
средствам связи для проведения этими органами в случаях,
установленных федеральными законами, мероприятий в целях
реализации возложенных на них задач, а также принимать меры по
недопущению раскрытия организационных и тактических приемов
проведения указанных мероприятий.

Каждый магистральный провайдер устанавливает техсредства.

Перед этим он должен описать все свои роутеры и их маршруты, и сообщить в электронной форме в указанный орган власти

4.3.6) в сроки, порядке, составе и формате, определяемых
федеральным органом исполнительной власти, осуществляющим
функции по контролю и надзору в сфере средств массовой
информации, массовых коммуникаций, информационных
технологий и связи, предоставлять в электронной форме в
указанный федеральный орган исполнительной власти, в том числе
по его требованию, следующую информацию:
об имеющемся у них номере автономной системы, о сетевых
адресах, принадлежащих автономной системе, о взаимодействии с
иными лицами, имеющими номер автономной системы, о местах
подключения средств связи, к линиям связи (их функциональным
элементам или ресурсам), пересекающим Государственную
границу Российской Федерации, о местах установки средств
связи, подключенных к линиям связи (их функциональным
элементам или ресурсам), на территориях иностранных
государств;

(Ответить) (Уровень выше)