有些国家为加强言论审查,伸手介入加密应用管制,而加密通信软件Signal也面临这样的问题,在多国受到ISP阻挡,通过域前置(Domain Fronting)技术,Signal还能在受阻挡的国家使用,但是在Google停止于这些国家支持域前置后,AWS也警告Signal伪装域名行为已经违反使用条款,威胁关闭其帐号。
Signal指出,在过去2年左右,埃及、阿曼、阿塔尔以及阿联酋等国家,政府接连通过ISP阻挡来自Signal服务器的连接,但因为现代化技术,Signal不使用单一固定的IP,在云计算环境,随着负载平衡的扩展调整,IP位置会随之浮动。 Signal提到,像是Amazon CloudFront服务,能够终止来自相同IP欲访问CDN上内容的数个服务请求,而这也让只基于IP位置的审查机制更难执行。
但由于TLS加密协议的更新,主机名称会被包含在SNI标头中,使的TLS握手完全暴露了纯文本中的目标主机名,在TLS 1.3中,更甚至提供了网络审查一切需要的信息。 Signal表示,由于云计算技术的特性,让他们可以解决TLS元数据泄漏问题,Google和AWS的域前置技术,在建构TLS服务时,把终端层与请求处理层分离,因此让Signal可以从网域A创建TLS连接请求,但从网域B接收并处理。
Signal提到,当埃及、阿曼、卡塔尔和阿联酋要阻挡创建在Google App Engine上的Signal服务,必须把整个Google.com都封锁,但这是多数国家不愿意做的事,而Signal服务也因此得到庇护。
从3年前开始,在伊朗Signal也开始无法直接访问服务,且由于政治因素,Google受到施压不再提供域前置服务,Signal转而使用Amazon CloudFront,但由于Signal是开源项目,有社区人员看到了这项改变,并在网络论坛上讨论,结果这个消息也被AWS看到。
AWS提到,Signal使用一个称为Souq.com的域名隐藏真实服务的网站流量,AWS认为,Signal未取得明确许可,因此无权使用该域名,任何域前置行为都明显违反了AWS服务条款, Amazon CloudFront规定用户皆必须拥有域名或是SSL凭证的所有权。 AWS要求Signal立即遵守服务条款,否则将禁用该帐号。
Signal表示,他们并未违反AWS服务条例,因为他们使用自己所有的SSL凭证,但是在数日前,AWS针对Amazon CloudFront请求发布了增强域名保护(Enhanced Domain Protections)政策,其背后的概念就是要终结域前置技术。
Google Cloud和AWS都无法成为网络审查的保护伞,Signal表示,在连接被封锁的国家,他们现在都无法提供服务,而这似乎无可避免,因为云计算服务供应商也需要防止其他服务仅因一个要被封锁的服务而全部遭到阻挡。 Signal提到,他们正在设法改变系统以解决问题,只是网络生态系统改变太快,让他们人手一时无法应对。