不少國家為加強言論審查,伸手介入加密應用管制,而加密通訊軟體Signal也面臨這樣的問題,在多國受到ISP阻擋,透過域前置(Domain Fronting)技術,Signal還能在受阻擋的國家使用,但是在Google停止於這些國家支援域前置後,AWS也警告Signal偽裝域名行為已經違反使用條款,威脅關閉其帳號

Signal指出,在過去2年左右,埃及、阿曼、阿塔爾以及阿聯酋等國家,政府接連透過ISP阻擋來自Signal伺服器的連接,但因為現代化技術,Signal不使用單一固定的IP,在雲端環境,隨著負載平衡的擴展調整,IP位置會隨之浮動。Signal提到,像是Amazon CloudFront服務,能夠終止來自相同IP欲存取CDN上內容的數個服務請求,而這也讓只基於IP位置的審查機制更難執行。

但由於TLS加密協定的更新,主機名稱會被包含在SNI標頭中,使的TLS交握完全暴露出目標主機的域名,在TLS 1.3中,更甚至提供了網路審查一切需要的資訊。Signal表示,由於雲端技術的特性,讓他們可以解決TLS元資料洩漏問題,Google和AWS的域前置技術,在建構TLS服務時,把終端層與請求處理層分離,因此讓Signal可以從網域A建立TLS連接請求,但從網域B接收並處理。

Signal提到,當埃及、阿曼、卡塔爾和阿聯酋要阻擋建立在Google App Engine上的Signal服務,必須把整個Google.com都封鎖,但這是多數國家不願意做的事,而Signal服務也因此得到庇護。

從3年前開始,在伊朗Signal也開始無法直接存取服務,且由於政治因素,Google受到施壓不再提供域前置服務,Signal轉而使用Amazon CloudFront,但由於Signal是開源專案,有社群人員看到了這項改變,並在網路論壇上討論,結果這個訊息也被AWS看到。

AWS提到,Signal使用一個稱為Souq.com的域名隱藏真實服務的網站流量,AWS認為,Signal未取得明確許可,因此無權使用該域名,任何域前置行為都明顯違反了AWS服務條款,Amazon CloudFront規定使用者皆必須擁有域名或是SSL憑證的所有權。AWS要求Signal立即遵守服務條款,否則將禁用該帳號。

Signal表示,他們並未違反AWS服務條例,因為他們使用自己所有的SSL憑證,但是在數日前,AWS針對Amazon CloudFront請求發布了增強域名保護(Enhanced Domain Protections)政策,其背後的概念就是要終結域前置技術。

Google Cloud和AWS都無法成為網路審查的保護傘,Signal表示,在連線被封鎖的國家,他們現在都無法提供服務,而這似乎無可避免,因為雲端服務供應商也需要防止其他服務僅因一個要被封鎖的服務而全部遭到阻擋。Signal提到,他們正在設法改變系統以解決問題,只是網路生態系改變太快,讓他們人手一時無法應付。


Advertisement

更多 iThome相關內容