Блокировка HTTPS трафика у многих провайдеров происходит по полю SNI extension:servername . Есть исследование https://hal.inria.fr/hal-01202712/document где показано что при определённых условиях HTTPS сервер отдаст контент клиенту без указания последним servername(это не будет работать для CDN где использется virtualhosts). Можно ли в секцию обхода HTTPS добавить такую проверку? Сейчас в консоли проверяю так:
mike@DNS:~$ echo -e "GET / HTTP/1.1\r\nHost: graniru.org\r\n\r\n" | openssl s_client -quiet -connect 95.211.178.194:443 | head -n 13
Can't use SSL_get_servername
depth=0 C = RU, ST = Russia, L = Moscow, O = Grani.Ru, CN = grani.ru, emailAddress = info@grani.ru
verify error:num=18:self signed certificate
verify return:1
depth=0 C = RU, ST = Russia, L = Moscow, O = Grani.Ru, CN = grani.ru, emailAddress = info@grani.ru
verify return:1
HTTP/1.1 200 OK
Server: nginx/1.10.1
Date: Tue, 30 Apr 2019 12:11:05 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Expires: Tue, 30 Apr 2019 12:11:05 GMT
Cache-Control: max-age=0
75
<!DOCTYPE HTML>
<html lang="ru" xmlns:fb="https://www.facebook.com/2008/fbml">
<head>
Без указания servername всё работает.
mike@DNS:~$ echo -e "GET / HTTP/1.1\r\nHost: graniru.org\r\n\r\n" | openssl s_client -quiet -connect 95.211.178.194:443 -servername graniru.org | head -n 13
^C
Принудительно указав servername получаем пустоту.
Блокировка HTTPS трафика у многих провайдеров происходит по полю SNI extension:servername . Есть исследование https://hal.inria.fr/hal-01202712/document где показано что при определённых условиях HTTPS сервер отдаст контент клиенту без указания последним servername(это не будет работать для CDN где использется virtualhosts). Можно ли в секцию обхода HTTPS добавить такую проверку? Сейчас в консоли проверяю так:
Без указания servername всё работает.
Принудительно указав servername получаем пустоту.