вот весь список заблокированных сайтов. Там есть http и https

и есть некоторые сайты, на которых заблокированы только определенные ресурсы. например, http://www.myvido1.com/ сам доступен, а http://www.myvido1.com/AZzYFUTZEc15EWG9WYtdXP_- заблокирован

То бишь они блокирует не по внешнему IP. сертификат тоже не подменен, но https ссылки недоступны.

причем они не редиректятся на автоматический ответ о блокировке сайта по решению органов блаблабла, а просто недоступны.

DPI стоит, вероятно.

DPI стоит, вероятно.

а как тогда https ресурсы блокируются?

Конкретные ресурсы можно блокировать и по урлу, с помощью сквида и какого-нибудь редиректора (ufdbguard например), но чтобы это работало с https надо делать бамп. А чтобы бамп сработал - серт сервера который делает бамп должен стоять у клиента как корневой.

сертификат для разрешенных сайтов не подменен

Я лично таким образом баню в офисе некоторые каналы ютуба, при этом не трогая сам ютуб.

Конкретные ресурсы можно блокировать и по урлу, с помощью сквида и какого-нибудь редиректора (ufdbguard например), но чтобы это работало с https надо делать бамп. А чтобы бамп сработал - серт сервера который делает бамп должен стоять у клиента как корневой.

бамп - это подмена сертификата? типо менинземиддл, да? дабы просматривать пакетики https

если да, то в таком случае ВСЕ сайты https должны показывать этот промежуточный сертификат

а его нет

Бамп это вскрытие https . Его расшифровка на промежуточном сервере. В вашем случае исключается - потому как для этого провайдер серт руками в машину поставить должен был.

И тогда да - промежуточный серт бы в соединении тоже палился.

Бамп это вскрытие https . Его расшифровка на промежуточном сервере. В вашем случае исключается - потому как для этого провайдер серт руками в машину поставить должен был.

MITM?

Да.

ну это очень грязно)

ну дык. а сертификата нет

а https трафик блокируется

магия?

DPI

можно http по url, а https по внешним IP, но это как-то топорно

DPI

дык DPI не доберется до https пакета без подмены сертификата

а https трафик блокируется

блокируется на уровне всего домена?

Я в DPI не очень силён, к сожалению. Не могу сказать как именно это возможно. Но в голову только он приходит.

ну провайдеры блокируют негодный трафик

вот мне стало любопытно - КАК

вот мне стало любопытно - КАК

домен/ip

но есть ресурсы, которые блокируются не полностью.

вообще вам на наг надо. Там постоянная жопоболь на эту тему)

а значит идет блокировка таки по пути

прямо ежедневная)

да у меня не боль, у меня любопытство.

https блокируется весь домен целиком

Например сброс соединения

А то и весь ip

можно пример частичной блокировки https url?

без подмены сертификата - нет

вопрос был об этом

прошу пруфы

ну то есть login.vk.com От vk.com вы отличите

А вот vk.com/index от vk.com/music - нет

но есть ресурсы, которые блокируются не полностью.

ещё раз тут: http можно заблокировать частично. https (без бампа) - нельзя

я тоже так считаю

ну там 1740 страниц ссылок. я не решилась их все просматривать. Так что видела, что часть ссылки блочится только http трафик

Я тоже считаю, что https без подмены сертификата разобрать нельзя.

Но в этом и соль

Я думаю так - вероятно бамп все же делается.

Если у провайдера есть корневые сертификаты всех афорити. :)

вот на Украине сейчас хотят запретить все сервисы Российского производства

и ко всем сервисам есть доступ по https

они официальный запрос в яндекс сделают? дайте нам список всех ваших внешних адресов для корректной блокировки ваших ресурсов на нашей территории?

Я думаю так - вероятно бамп все же делается.

ну вы же понимаете, что у пользователя на весь экран будет мессейдж о мошенничестве и подмене?

Если у провайдера есть корневые сертификаты всех афорити. :)

сертификаты не сильно нужны. нужны закрытые ключи

и ко всем сервисам есть доступ по https

они просто домены ya.ru vk.com ok.ru заблочат и все

да в реестр что угодно можно внести так то, а то что там есть https url который по факту не работает а сам домен доступен, может говорить о том что держатель страницы принял меры, и закрыл к ней доступ, чтобы не словить блок домена/ip

целиком

даже дело не в сертификате. некоторые сайты типо гугла не работают при подмене сертификата

они просто домены ya.ru vk.com ok.ru заблочат и все

где они их заблочат?

где они их заблочат?

В смысле где?

у себя на днсках? так можно гугловский днс поставить.

Провайдеры?

днс на провайдерах конечно

Причем тут днс?

а внутрь https пакета без пакета они не залезут

ERROR: S client not available

А зачем лезть?

dpi

тогда я не понимаю.

Еще раз

Когда ты обращаешься на https://vk.com - провайдер видит что ты туда идешь

сейчас все разные способы юзают, но те кто блочат тупо у себя на провайдерском днсе точно есть

но оне не видит куда конкретно

Да Вы же сами тут пришли к выводу, что dpi без подмены сертификата на https работаеть не будет

то есть ты сообщения пишешь или музыку слушаешь

или новости чистаешь

Но он видит, что это vk.com

народ ну кому очень интерестно КАК работают DPI почитайте ман по SCE 8000

И банит его целиком

домен видно в https пакете

самая распространенная платформа DPI у операторов связи

домен видно в https пакете

подскажете где? я wireshrkом его увижу?

допустим, в первом пакете инициирующем соединение

допустим, в первом пакете инициирующем соединение

ты увидишь dst

я увижу исключительно IP адрес

лично я больше ничего не видела ?

перед тем как ты установишь https соединение с google.com тебе надо узнать его ip, то есть еще до https ты спросишь у днса ip

подскажете где? я wireshrkом его увижу?

ну может я не туда смотрела.

перед тем как ты установишь https соединение с google.com тебе надо узнать его ip, то есть еще до https ты спросишь у днса ip

так) вот мы пришли к выводу, что могут блокировать соединения dns

но при этом я ж в хостах могу прописать?

пффф

стоп

и запроса днс не будет - только напрямую к IP адресу.

как работает https?

в твоем понимании?)

ну и днс тоже...