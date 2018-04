Blokované aplikace už nebudou moci využít infrastrukturu Google, aby obešly cenzuru v některých zemích. Google App Engine totiž zamezil praktice známé jako domain fronting, která umožňuje skrýt skutečný cíl komunikace a cenzor vidí jen běžnou konverzaci aplikace s univerzální infrastrukturou Google.

Domain fronting funguje na aplikační vrstvě a umožňuje se připojit k cenzurované službě pomocí HTTPS a předstírat přitom, že komunikuje s úplně jiným webem a službou. Princip je jednoduchý: jméno necenzurované domény se použije v úvodním sestavování spojení, které cenzor vidí například v DNS nebo v TLS požadavku a jeho SNI hlavičce. Jméno skutečné služby se pak přenáší uvnitř šifrovaného spojení, kdy se předá pomocí HTTP hlavičky Host. Tohle samozřejmě funguje jen v případě, že jsou obě služby (blokovaná i legitimní) provozovány v jedné infrastruktuře.

Čerstvá úprava u Google ale způsobila, že tento šikovný trik už nefunguje. Jako první si toho všimli vývojáři sítě Tor, později se blokování projevilo na celé infrastruktuře App Engine. Znemožnilo to obcházet cenzuru například službám jako Tor, Signal nebo Telegram. Nyní už servery aktivně takový pokus zablokují a vrátí stránku, která informuje o rozporu mezi HTTP hlavičkou a TLS certifikátem:

This HTTP request has a Host header that is not covered by the TLS certificate used. Due to an infrastructure change, this request cannot be processed.