[hm] [off-topic] Usar la lista para coordinar acciones ERA: Censurada una web pro-aborto en Y si llamamos a las,operadoras pidiendo explicaciones?. el estado español por varia ISPs

fadelkon fadelkon en posteo.net
Lun Abr 27 01:49:25 CEST 2020 

Hola Jose,

No sé si has leído que tenemos pruebas que cada ISP está censurando a su
manera. Unas lo hacen con DNS spoofing, sí, pero otras no. Por lo tanto,
tu solución no sirve para los clientes de ISP que censuran digamos que
por "deep packet inspection".

El 27/4/20 a les 0:19, Jose Legido ha escrit:
> Si de línea de comandos hacen esto:
> openssl s_client -connect 67.213.76.19:443 <http://67.213.76.19:443>
> -prexit
> Tiene que mostrar el certificado original de let's encrypt y
> poniéndose esta línea en /etc/hosts tendrían que poder navegar
> correctamente:
> 67.213.76.19 womenonweb.org <http://womenonweb.org> www.womenonweb.org
> <http://www.womenonweb.org>
>

Me parece muy interesante. Con openssl (TLS sin nada más) me devuelve el
certificado correcto, con lynx (TLS con HTTP dentro) no.


Fíjate:

$ openssl s_client -connect 67.213.76.19:443 -prexit

CONNECTED(00000003)
Can't use SSL_get_servername
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = womenonweb.org
verify return:1

Éste parece bueno.

En cambio, con curl:

$ curl https://www.womenonweb.org

curl: (60) SSL certificate problem: self signed certificate in
certificate chain
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.


Lo que no sé todavía és en qué lugar del Client Hello el cliente dice
que va a querer usar HTTP. O por el contrario, qué diferencias hay entre
el client hello curl/lynx/firefox... y el de openssl "raw" para que el
Server Hello contenga un certificado verdadero o uno malo.

> Si no es así, me gustaría ver ese caso y analizarlo entre todas.
>

Si es útil, puedo tratar de gravar unas trazas con wireshark, pero me
llevará un poco comprobar qué info identificadtiva contiene (como la mac
de mi tarjeta de wifi o la del router) hay y cambiarlos de antemano.

Salut
fdk

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: </pipermail/hackmeeting/attachments/20200427/4c9e8d48/attachment-0001.sig>

Más información sobre la lista de distribución HackMeeting