在 Google 云服务 App Engine(GAE)之后,云计算巨头亚马逊的 AWS 服务也宣布关闭域前置 (Domain fronting) 功能。
域前置是一种隐藏连接真实端点来规避审查的技术,其原理为在不同通信层使用不同的域名,在明文的 DNS 请求和 TLS 服务器名称指示中使用无害的域名来初始化连接,而实际要连接的被封锁域名仅在创建加密的 HTTPS 连接后发出,使其不以明文暴露给网络审查者。
只要该服务使用的是 domain-fronting,所有国内数据请求就会显示为正在向 Google/Amazon.com 前进,加密可防止审查人员进一步深入挖掘。比如在没有屏蔽 Google/Amazon 域名的国家,反审查工具可以通过 Google/Amazon 的域名转发流量。
这对避开像俄罗斯最近对 Telegram 的封锁这样的地区级互联网屏蔽非常有用。
Domain fronting 是对反审查者绝对关键的保护。允许 domain-fronting 意味着潜在的数百万人可以体验更自由的互联网并享受他们的人权。
封锁这种反审查技术并非不可能,但会造成严重的附带损害,因为这会同时导致大量无辜网站一并封杀。因此国家级审查者会三思而后行。然而包括中国和俄罗斯在内的国家已经表现出不在乎封杀无辜网站的后果,压力转移到了云巨头这边。
加密消息应用 Signal 在埃及、阿曼和阿联酋等国遭到封杀,为了绕过屏蔽它采用了域前置技术。在 GAE 停止支持域前置后,Signal 转移到了AWS,利用亚马逊的 Souq.com 域名绕过封锁。
亚马逊随后致函 Signal 开发商 Open Whisper Systems 的创始人 Moxie Marlinspike,要求他立即停止使用域前置,否则就去寻找新的云服务商(微软的 Azure 仍然支持域前置)。这一事件引发了广泛 讨论,基于附带损害的反审查策略可能走入了死胡同。
亚马逊给出的理由是为了阻止“恶意程序”,称包括恶意程序在内的工具可以利用这项技术逃避 TLS/SSL 层的屏蔽,称没有客户想要看到有人伪装成他们无辜的域名。亚马逊仍然允许域内的域前置,但不再允许用户伪装数据来源,降低了绕过屏蔽的可用性。
Google 和 Amazon 正在作恶。必须阻止他们。