アカウント名:
パスワード:
韓国の SNI を使ったこの方式のブロッキングは「先見の明」がある最先端の方法です。
Contributes to HTTP, TLS, QUIC development at IETF という肩書を持つ Kazuho Oku 氏でさえも、(とはいえ、SNI blocking するISP箱や国家レベルブロッキングしてる設備でも、たまたま入れてる設備が同等・互換で見て遮断しちゃうとかはあるんだろうな的な。)というツイートに対して、「そういう話は聞いていませんし、実際、大規模なブロッキングではTLSの中身を見てどうこうするというコスト高の手法はこれまで避けられてきたと理解しています」と 返答 [twitter.com] しているほどです。
しかも、SNI blocking の方は、TLS 1.3 を検出すれば(ホスト名が平文で送信される TLS 1.2 以下を検出できなければ)ブロッキングの対象とすることで、TLS 1.3 の使用を妨害することができます。
TLS 1.3をサポートしていても、ESNI(暗号化SNI)をサポートしていないブラウザもあるので、TLS 1.3以上でESNI非対応は許してあげてもいいんじゃないですかね。
手元のブラウザがESNIに対応しているかどうかは、ここ [cloudflare.com]で判定可能です。
ところで、SNI blockingは、UTM/FWでもサポート [fortinet.com]されている機能ですね。これらの製品は、どう対応していくんですかね?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
韓国のブロッキングは「先見の明」がある最先端の方法 (スコア:1)
韓国の SNI を使ったこの方式のブロッキングは「先見の明」がある最先端の方法です。
Contributes to HTTP, TLS, QUIC development at IETF という肩書を持つ Kazuho Oku 氏でさえも、
(とはいえ、SNI blocking するISP箱や国家レベルブロッキングしてる設備でも、たまたま入れてる設備が同等・互換で見て遮断しちゃうとかはあるんだろうな的な。)というツイートに対して、
「そういう話は聞いていませんし、実際、大規模なブロッキングではTLSの中身を見てどうこうするというコスト高の手法はこれまで避けられてきたと理解しています」と 返答 [twitter.com] しているほどです。
Re:韓国のブロッキングは「先見の明」がある最先端の方法 (スコア:3, 興味深い)
しかも、SNI blocking の方は、TLS 1.3 を検出すれば(ホスト名が平文で送信される TLS 1.2 以下を検出できなければ)ブロッキングの対象とすることで、TLS 1.3 の使用を妨害することができます。
TLS 1.3をサポートしていても、ESNI(暗号化SNI)をサポートしていないブラウザもあるので、
TLS 1.3以上でESNI非対応は許してあげてもいいんじゃないですかね。
手元のブラウザがESNIに対応しているかどうかは、ここ [cloudflare.com]で判定可能です。
ところで、SNI blockingは、UTM/FWでもサポート [fortinet.com]されている機能ですね。
これらの製品は、どう対応していくんですかね?