Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Vodafone empieza a bloquear sitios haciendo DPI también por SSL

  • [Portada]

    Vodafone empieza a bloquear sitios haciendo DPI también por SSL

    Acabo de ver por curiosidad, hasta hace unos meses todas las webs bloqueadas por orden judicial (ThePirateBay, y otras torrentes diversas) estaban bloqueadas en la red de Vodafone al acceder por HTTP (redirigiendo al famoso Castor) pero sí eran accesibles por HTTPS (ya que estaban en Cloudflare, por lo que no era factible hacer MITM de las IPs y probablemente su DPI no soportase leer el host desde la cabecera SNI, como sí que hace Movistar).

    Pues ahora al ver la noticia sobre las nuevas webs que han bloqueado tras la última orden, me he dado cuenta de que ya no funcionan estas por SSL tampoco - ahora interceptan la conexión y devuelven una web con un escueto "Por causas ajenas a Vodafone, esta web no está disponible".

    Como curiosidad usan un certificado autofirmado a nombre de allot.com de día 11 de marzo, así que ya sabemos de dónde viene su sistema de DPI nuevo.

    Por suerte están Firefox y Cloudflare para salvarnos, y las webs clausuradas y alojadas en Cloudflare siguen funcionando activando el soporte experimental de SNI encriptado por lo que ya es imposible hacer DPI.

    $ curl -v -k https://thepiratebay.org/
    *   Trying 104.25.116.37...
    * TCP_NODELAY set
    * Connected to thepiratebay.org (104.25.116.37) port 443 (#0)
    * ALPN, offering h2
    * ALPN, offering http/1.1
    * successfully set certificate verify locations:
    *   CAfile: /etc/ssl/certs/ca-certificates.crt
      CApath: none
    * TLSv1.3 (OUT), TLS handshake, Client hello (1):
    * TLSv1.3 (IN), TLS handshake, Server hello (2):
    * TLSv1.2 (IN), TLS handshake, Certificate (11):
    * TLSv1.2 (IN), TLS handshake, Server key exchange (12):
    * TLSv1.2 (IN), TLS handshake, Server finished (14):
    * TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
    * TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
    * TLSv1.2 (OUT), TLS handshake, Finished (20):
    * TLSv1.2 (IN), TLS handshake, Finished (20):
    * SSL connection using TLSv1.2 / ECDHE-ECDSA-AES256-GCM-SHA384
    * ALPN, server did not agree to a protocol
    * Server certificate:
    *  subject: CN=thepiratebay.org
    *  start date: Mar 12 11:21:19 2018 GMT
    *  expire date: Mar 11 11:21:19 2020 GMT
    *  issuer: C=ES; ST=Madrid; L=Madrid; O=Allot; OU=Allot; CN=allot.com/emailAddress=info@allot.com
    *  SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
    > GET / HTTP/1.1
    > Host: thepiratebay.org
    > User-Agent: curl/7.36.0
    > Accept: */*
    >
    < HTTP/1.1 502 Bad Gateway
    < Content-Type: text/html
    < Content-Length: 86
    <
    * Connection #0 to host thepiratebay.org left intact
    <html><body><p>Por causas ajenas a Vodafone, esta web no est� disponible</body></html>%
    Este tema lleva más de 6 meses inactivo. Es recomendable que abras un nuevo tema para retomar la conversación.