Amazon предупредила мессенджер Signal о недопустимости применения технологии подстановки домена для обхода блокировок
Администрация платформы облачных сервисов Amazon Web Services уведомила разработчиков мессенджера Signal о недопустимости использования способа подстановки домена (domain fronting) для обхода блокировок в некоторых государствах, где мессенджер запрещен. Текст письма из Amazon, полученного в конце апреля, приводится в блоге Signal.
В письме руководитель сервиса для доставки контента Amazon CloudFront пишет, что обратили внимание на посты в социальных сетях о планах Signal использовать принадлежащую Amazon арабскую платформу Souq.com для обхода блокировок. На это, отмечают авторы письма, не было получено разрешение.
«Использование Souq.com или любого другого домена для маскировки под другого пользователя без формального разрешения владельца домена является нарушением правил использования AWS, — говорится в письме, полученном разработчиками Signal. — Мы немедленно откажем вам в доступе к CloudFront, если вы будете использовать домены третьих лиц без разрешения для маскировки под этих третьих лиц».
В Signal отмечают, что доступ к приложению за последние полтора года был ограничен в Египте, Омане, Катаре и ОАЭ — провайдеры этих стран блокируют соединения мессенджера с серверами.
Суть механизма domain fronting в простейшем представлении заключается в следующем. Приложение пользователя (например, Signal) устанавливает открытое соединение (в handshake-сообщениях в незашифрованном виде указано, к какому домену пойдет зашифрованный трафик) c облачным сервисом (например, AWS, Google Cloud или Microsoft Azure). В обычной ситуации провайдер видел этот конечный домен и мог заблокировать обмен данными. При этом внутренние механизмы Amazon и Google позволяли указать в handshake домен приложения из облачных сервисов, которое и производило обмен зашифрованным трафиком с заблокированным ресурсом в обход блокировок.
В Signal пишут, что использовали Google App Engine для обхода блокировок, однако весной компания запретила domain fronting. Следом за ней аналогичное решение приняли в Amazon. Теперь разработчики мессенджера «рассматривают варианты более надежной системы».
Данных о том, окажут ли решения Amazon и Google влияние на борьбу мессенджера Telegram с блокировками Роскомнадзора, пока нет.
Обновлено в 11:45 Уточнены формулировки механизма работы domain fronting.