"При этом, поскольку по решению администраторов «Википедии» интернет-ресурс функционирует на основе протокола HTTPS, не допускающего ограничений доступа к отдельным страницам, заблокированным окажется весь ресурс."
Самим себя приходится высекать, чтоб мир содрогнулся, какие звери в правительстве РФ
Количество содрогающихся на вотте можно пересчитать в утреннем горячем обсуждении
ППКС - аббревиатура фразы "подпишусь под каждым словом".
Тут подробнее:[censored]
Спеши, пока мудрый РКН не успел оградить от источника разврата, содомии и наркомании.
Я ж тебе объяснял уже, как. SSL/TLS offload. Только вот про "народных" камрад децл погорячился - ну, если он не пиндос и не китаец - нормальное железо, которое не сыкотно провайдеру в продакшн поставить именно они делают.
> Не проникся после гугления, можно чуть подробнее именно про механизм?
Как прокси, только для шифрованного трафика. Имеет место небольшое наебалово: сервер сайту представляется клиентом, а клиенту - сайтом, за счет аппаратного шифрования/дешифрования практически не падает производительность, но появляется возможность глядеть внутрь https-сессии, что, в свою очередь, позволяет, например, при помощи всяких DPI-железок забанить ту же самую статью про наркоту, не трогая всю Википедию. Стоит ебанически дорого, если в промышленном исполнении.
FortiADC can act as the SSL/TLS terminator: instead of clients having an encrypted tunnel along the entire path to a back-end server, the client’s HTTPS request is encrypted/decrypted partway along its path to the server, when it reaches the FortiADC. FortiADC then forwards unencrypted HTTP traffic to your servers.
> Ну т.е. между ним и сайтом нешифрованное соединение? В таком случае какой вообще сертификат?
Да почему нешифрованное-то? Он запрашивает сертификат сайта, представляясь ему клиентом. А клиенту он представляется конечным сайтом. Между ним и клиентом и между ним и сайтом всё шифруется, только он сессию при этом нешифрованную видит.
In a sense, an SSL hardware accelerator is performing SSL offloading, because part of the SSL processing is “offloaded” from the server’s CPU to the card’s co-processor. The term “offloading,” however, is generally used to describe an appliance or a completely separate computer that performs all SSL processing, so that the SSL load is taken off of the Web server completely.
И как бы всё. Разгрузить сервер. Собственно и название само за себя говорит.
[censored]
А так нужен либо поддельный сертификат, но тогда браузер покажет любому опытному пользователю, и сразу сольют провайдера, что он подделывает, либо каким-то образом с доверенным центром сертификации "поработать", что тоже маловероятно.
Да и вообще, это уже великий русский файрвол будет, потому что все запросы днс нужно будет направлять на себя, чтобы я зашёл вместо wikipedia.org на сервер провайдера. Я ведь и 8.8.8.8 могу в качестве днс поставить.
DNS как раз можно задушить. Тут другая проблема, ну, помимо криков пользователей: стоить это будет пиздец сколько, а компенсировать затраты провайдерам будет угадай кто? Правильно, ты и я. И все остальные пользователи Интернета в России.
1. Сервеный сертификат украден
2. Клиент не проверил сертификат
3. Сертификат man-in-the middle подписан настоящим центром сертификации
4. Сертификат фейкового центра в доверенных корневых клиента, а им подписан сертификат посредника.
> Тут другая проблема, ну, помимо криков пользователей: стоить это будет пиздец сколько
Да это стоить будет только из-за SSL. Поскольку это заметят сразу, то проще по http только пускать к себе, а после анализа подключаться к настоящему серверу по https, и всё.
Сейчас, сейчас
малолетний »