도메인 프론팅: 두 판 사이의 차이
내용 삭제됨 내용 추가됨
Cyberkagami (토론 | 기여) "Domain fronting" 문서를 번역하여 만듦 |
Cyberkagami (토론 | 기여) 잔글 링크 수정 |
||
4번째 줄:
[[아마존 S3|Amazon S3]] 및 [[구글 앱 엔진|Google App Engine]]과 같은 대규모 호스팅 서비스를 사용할 경우, 공통 및 대상 [[HTTPS]] 도메인을 모두 포함하는 공유 [[서버 네임 인디케이션|SNI 인증서]]를 사용하는 방법이 있다. 이때, 실제 차단된 엔드포인트의 도메인 네임은 암호화된 HTTPS 연결 성립 후에야 [[HTTP 헤더 필드 목록|HTTP Host 헤더]]를 통해 전달되므로 검열에 걸리지 않게 된다. 차단된 사이트와 차단되지 않은 사이트가 서로 같은 대규모 호스팅 서비스에 의해 호스팅되는 경우에 한해 이와 같은 작업을 수행할 수 있다.<ref>{{웹 인용|url=https://www.engadget.com/2016/12/21/signal-egypt-uae-censorship-block-domain-fronting/|제목=Encrypted chat app Signal circumvents government censorship|웹사이트=Engadget|확인날짜=2017-01-04}}</ref><ref>{{뉴스 인용|url=https://www.wired.com/2016/12/encryption-app-signal-fights-censorship-clever-workaround/|제목=Encryption App ‘Signal’ Is Fighting Censorship With a Clever Workaround|성=Greenberg|이름=Andy|뉴스=WIRED|언어=en-US|확인날짜=2017-01-04}}</ref><ref>{{웹 인용|url=http://blog.attackzero.net/2015/11/domain-fronting-and-you.html?m=1|제목=Domain Fronting and You|웹사이트=blog.attackzero.net|확인날짜=2017-01-04}}</ref>
이외에 [[콘텐츠 전송
위와 같은 기법을 사용하면 서로 다른 통신 계층에서 서로 다른 [[도메인 네임]]을 쓰게 된다. 우선 연결 생성 과정 초기에는 차단되지 않은 사이트의 도메인 네임을 쓴다. [[도메인 네임 시스템|DNS 요청]] 및 [[서버 네임 인디케이션|TLS 서버 네임 인디케이션]] 과정에서 이 도메인 네임이 [[Plaintext|평문]]으로 전송되고, 따라서 검열에 노출되는 것도 이 도메인 네임이 된다. 이때 검열을 시도하는 측에서는 방금 읽은 도메인 네임이 우회 트래픽에서 나온 것인지 정상적인 트래픽에서 나온 것인지 거의 구분할 수 없다. 따라서 해당 도메인을 사용하는 트래픽을 모두 허용하든가 아니면 해당 도메인 네임을 원천 차단하든가 두 가지 선택지밖에 없게 되는데, 후자는 부작용이 너무 크므로 실질적으로 시행하기는 어렵다.<ref>{{웹 인용|url=https://trac.torproject.org/projects/tor/wiki/doc/meek|제목=doc/meek – Tor Bug Tracker & Wiki|웹사이트=trac.torproject.org|확인날짜=2017-01-04}}</ref><ref>{{웹 인용|url=https://whispersystems.org/blog/doodles-stickers-censorship/|제목=Open Whisper Systems >> Blog >> Doodles, stickers, and censorship circumvention for Signal Android|웹사이트=whispersystems.org|확인날짜=2017-01-04}}</ref>
| |||