Веб-сервер

nginx директива server_name, у апача виртуал вроде

штатная фича HTTP1.1

вообще называется virtual hosting

спасибо извините за дилетанские вопросы, с хостингом не сталкивался ни разу, в основном СОРМ/DPI и мобильная кора

если используется HTTPS, то нужнорасширение SNI

https://en.m.wikipedia.org/wiki/Virtual_hosting

если используется HTTPS, то нужнорасширение SNI

Нет, не нужно

что не нужно?

А что нужно?)

тебе надо азные серты отдать для разных сайтов

Делаешь один и не нужно

без SNI ты должен хендшейк провести до того, как узнаешь имя

Ну да

Делаешь один и не нужно

ну это пошло

Пошло обобщать не учитывая частные случаи

баба-яга против

без митма HTTPS в онлайне не вскрыть?

маловероятно

не имея правильного закрытого ключа и с клиентом, который проверяет правильность сертификата - нет

т.е. только back-to-back прокся с подменой серта

да

и то, браузер будет ругаться у юзера

не обязательно

имеешь ввиду, если насильно юзера заставить серт установить, то не будет?

в копропротивной среде обычно прокся выписывает сама себе серты на лету

это вроде пофиксили

и подписывает из доверенным копропротивным корневиком

да да, читал про это, вроде как фиксед уже

дыра нифиговая была

ну там есть два механизма против такого

certificate pinning на клиенте

и http public key pinning в заголовках http

но пока это все не шибко распространено

да ну? вроде как по миру https растет, пора бы озаботится хотя с другой стороны, если у тебя квантовый комп под рукой, то поиметь этот SSL труда не составит

а, еще есть DANE

но его вообще полторы калеки поддерживают

https://en.m.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities

О, не знаешь, как редирект с https ресурса работает? С http все понятно, 302 и готово

так же

https - это обычный http, завернутый в TLS-трубу

Это понятно, вот пример: У меня нет денег на счете, провайдер интернет блочит Захожу на гугл.ком,меня кидает на страницу оператора

Как это произошло, если хендшейка не было

был

с сервером https://гугл.ком

у которого адрес 192.168.1.1

кто контролирует днс, тот контролирует мир

т.е. DNS подменяется?

понял, спасибо

конечно

а на 192.168.1.1 вертится сайт оператора, который поле Host не анализирует, выходит?

да

именно в примере с https браузер будет ругаться

с http - нет

потому что доверенного сертификата на имя гугл.ком на том сервере нет

спасибо

чет я сильно сомневаюсь, что они в днс гугл ком запихали

там скорее всего правило на весь DNS при полной блокировке такое

потому, что это грозит проблемами у пользака

гуглком у меня редиректился на SkyNet

(в днс кэш попадет - пользак заебет техподдержку)

у меня не попадал?

твое высказывание справедливо для любого сайта

потомо что они редирекият, а не днс подменяют как кеша сказал

так опять же, как ты средиректишь не влезая в TLS?

а причем тут tls то?

это элементарно даже на фаере делается "если денег нет - любой запрос разворачивать туда", до тлс дело даже не доходит

(в днс кэш попадет - пользак заебет техподдержку)

можно отдавать копеечный ttl

прекрасный костыль

но да, можно и не заморачиваться с этим

можно натить

можно, но натить все не подойдет, если хочется блочить определенные сайты

почему не подойдет?

dstnat на 192.168.1.1 на те адреса, которые не хочется при отрицательно балансе показывать

и accept на те, которые хочется

дело в том, что я со стороны DPI на это смотрю

и абоненты на нем могут быть с совершенно разными полиси

если вопрос стоит в том, чтобы заблочить что то для всех - то вариант с натом более чем уместен

а если вопрос стоит о блокировке доступа к разным сервисам для разных абонентов - то нет похоже здесь подмена DNS с выставлением TTL будет как раз

не могу понять разницу

в случае с NAT необходимо следить за IP постоянно

а с DNS - нет

абонент может и не использовать днс

так что за ip следить так или инаяе придется

с днс правильный абон тебя обойдет через 2 минуты

это упустил

а еще более правильный - даже не заметит тебя

с днс правильный абон тебя обойдет через 2 минуты

правильные абоны и тетеринг блокировку обходят

именно так

речь не о правильных, а о большинстве :)

это для фз?

или просто поразвлекаться?

нет

просто поразвлекаться и понять, как работает

а, ок

тогда даже обсуждать не интересно

потом в DPI втащить

dpi это другое

точно никак не связанное с дрочевом с подменой днс и т.д.