[hm] [off-topic] Usar la lista para coordinar acciones ERA: Censurada una web pro-aborto en Y si llamamos a las,operadoras pidiendo explicaciones?. el estado español por varia ISPs

[fadelkon]

Creo que están filtrando por el SNI (server name indication)

El 27/4/20 a les 1:49, fadelkon ha escrit:
> El 27/4/20 a les 0:19, Jose Legido ha escrit:
>> Si de línea de comandos hacen esto:
>> openssl s_client -connect 67.213.76.19:443 <http://67.213.76.19:443>
>> -prexit
>> Tiene que mostrar el certificado original de let's encrypt y
>> poniéndose esta línea en /etc/hosts tendrían que poder navegar
>> correctamente:
>> 67.213.76.19 womenonweb.org <http://womenonweb.org> www.womenonweb.org
>> <http://www.womenonweb.org>
> Me parece muy interesante. Con openssl (TLS sin nada más) me devuelve el
> certificado correcto, con lynx (TLS con HTTP dentro) no.

Mirad:

> $ openssl s_client -connect 67.213.76.19:443 |& grep issuer
> issuer=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

Si llamamos el cliente de openssl con la IP, no sabe nada del server
name, así que no añade esta "extensión" al Client Hello de TLS
(corroborado con wireshark). En cambio:

> $ openssl s_client -connect www.womenonweb.org:443 |& grep issuer
> issuer=C = ES, ST = Madrid, L = Madrid, O = Allot, OU = Allot, CN =
allot.com/emailAddress=info en allot.com

Si llamamos el cliente por el dominio, a parte de resolverlo a una IP,
añade el nombre del servidor al Client Hello de TLS (corroborado también).

Creéis que puede ser ésto?
Qué os sale a vosotrxs?

fdk

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: </pipermail/hackmeeting/attachments/20200427/b47b0153/attachment.sig>