Domain Fronting
Domain Fronting ist ein technischer Vorgang, bei dem Internet-Zensur durch das Verschleiern der Domain einer HTTPS-Verbindung umgangen wird. Der Vorgang passiert in der Anwendungsschicht und erlaubt, eine Verbindung herzustellen, auch wenn die Verbindung durch technische Maßnahmen wie Deep Packet Inspection, IP- oder DNS-Abfragen blockiert wird.[1]
Technische Details
Beim Domain Fronting macht man sich das SNI-Protokoll, eine Erweiterung des Transport Layer Security, zunutze. Die Grundidee besteht darin, verschiedene Hostnamen auf unterschiedlichen Paketlayern zu verwenden. In einer Anforderung mittels Domain Fronting beinhalten DNS-Abfrage und SNI eine vorgeschobene Domäne, während der HTTP-Host-Header, der durch die HTTPS-Verschlüsselung vor dem Zensor verborgen bleibt, die eigentlich gewünschte Domäne trägt. Der HTTP-Host-Header ist für den Zensor unsichtbar, nicht jedoch für den Frontend-Server. Der Frontend-Server verwendet den Host-Header intern, um die Anforderung an sein verdecktes Ziel weiterzuleiten.
Die einzige Möglichkeit, diese Art der Zensur zu unterbinden, besteht darin, die Frontend-Domäne zu zensieren.[2]
Als Frontend-Domäne eignen sich CDNs wie beispielsweise Cloudflare, da diese Technik hier bewusst eingesetzt wird, um eine Webseite im Namen einer anderen Webseite bereitzustellen.
Prominenter Fall von Domain Fronting
Ende 2016 versuchten Ägypten und die Vereinigten Arabischen Emirate den Messenger Signal zu zensieren. Signal nutzte daraufhin die Google App Engine, um sich vor der Zensur zu schützen.[3][4]
Die Technik wurde allerdings nur vor Ort eingesetzt, man wolle aber an einem Update arbeiten, um automatisch Zensur zu erkennen und diese mithilfe von Domain Fronting umgehen.[4]
Härteres Vorgehen bei Amazon und Google
Im April 2018 gab Amazon, eine Woche nach Google, bekannt, an Softwarelösungen zu arbeiten, um Domain Fronting zu unterbinden. Als Grund gaben sie an, dass Schadsoftware diese Technik anwenden könne, um unabhängige Domänen zu nutzen, und damit Einschränkungen von ISPs zu umgehen.[5]
Damit schloss sich Amazon Google an, die bereits Anfang April eine Änderung an der Google App Engine vornahmen, um Domain Fronting zu unterbinden. Bereits am 15. April 2018 wurde eine derartige Änderung durch Entwickler des Tor-Projekts entdeckt.[6] Auf Nachfrage erklärte Google, dass Domain Fronting nie eine unterstützte Praxis gewesen sei und dass man die Lücke im Zuge eines Netzwerkupdates geschlossen habe. Man habe auch in Zukunft kein Interesse daran ein derartiges Feature anzubieten.[7]
Einzelnachweise
- Network Traffic Obfuscation and Automated Internet Censorship. (PDF) Abgerufen am 6. Februar 2019 (englisch).
- Blocking-resistant communication through domain fronting. Abgerufen am 13. Mai 2019 (englisch).
- Encryption App 'Signal' Fights Censorship With a Clever Workaround. 21. Dezember 2016, abgerufen am 13. Mai 2019 (englisch).
- Messenger-App Signal umgeht Sperre in Ägypten. 22. Dezember 2016, abgerufen am 13. Mai 2019.
- Amazon Web Services starts blocking domain-fronting, following Google’s lead. 30. April 2018, abgerufen am 6. Februar 2019 (englisch).
- Domain fronting to App Engine stopped working. 15. April 2018, abgerufen am 6. Februar 2019 (englisch).
- A Google update just created a big problem for anti-censorship tools. 18. April 2018, abgerufen am 6. Februar 2019 (englisch).