Ja waarom dan? Wat zou daar de toegevoegde waarde van zijn zijn.
Omzeilen van censuur.
China beperkt whatsapp.com
Proxy draait buiten China op nietgeblokkeerdinchina.org
WhatsApp-client -> (buiten) TLS -> nietgeblokkeerdinchina.org -> (binnen) TLS -> whatsapp.com
Vrijwillige proxyhoster kan de WhatsApp-gegevens niet ontvangen omdat de binnenste TLS-tunnel doorgaat naar whatsapp.com. Signaal kan dit ook. Uiteraard zijn er voor WhatsApp meer servers dan enkel whatsapp.com. Dankzij SNI toegepast op de binnenste TLS-tunnel door de WhatsApp-client weet de proxy waar welke data waarheen doorgestuurd moet worden. Dit is bijvoorbeeld mogelijk om zowel een Signal TLS-proxy als een WhatsApp TLS-proxy op hetzelfde IP-adres en dezelfde TCP-poort te draaien, naast eigen diensten.
Zo’n TLS-proxy draait standaard op TCP-poort 443. Doordat de standaard TLS betrekking heeft op uw verkeer, onderscheidt het van normaal websiteverkeer, en met een reverse proxy (zoals HAProxy) het verkeer routeren naar waar het heen moet (eigen webservers indien platte tekst na decryptie van de TLS-laag, of doorsturen naar whatsapp.com indien de decryptie van de TLS-laag nog een binnen TLS-laag wordt gezien).
Het nieuwsbericht noemt dat de TLS-proxy nu een andere poort dan 443 kan gebruiken. Zo zou je ook op poort 22 kunnen hosten. HAProxy kan met de juiste configuratie SSH-verkeer onderscheiden van TLS-verkeer. En zo zullen er nog meer manieren zijn om het te verduisteren onder een bestaande poort met een normaal gebruikte dienst (IMAPS op 993, SMTPS op 465, FTPS op 990, etc.).
[Reactie gewijzigd door The Zep Man op 23 juni 2023 15:08]
credit :Source link
