SNI nedir (Server Name Indication)

Server Name Indication — SNI — TLS handshake'teki bir alan. Tarayıcın HTTPS üzerinden bir siteye bağlandığında ilk mesajda şifrelenmemiş bir SNI değeri gönderir: "www.example.com ile konuşmak istiyorum." Sunucu bunu kullanır doğru sertifikayı seçmek için (birden fazla site genellikle virtual hosting üzerinden tek bir IP'yi paylaşır), sonra iki taraf da takip eden her şey için şifreleme kurar.

Yakalama: SNI açık metinde. Telden bakan herkes — ISP'n, kafe Wi-Fi'ı, DPI kutusu — hostname'i görür. Handshake'ten sonraki her sayfa byte'ı şifreli olsa da bağlantı zamanında hedef domain açıkta.

SNI neden var

SNI'dan önce her HTTPS sitenin kendi IP adresine ihtiyacı vardı. Sunucu şifreli bir handshake aldı ve hangi sertifikayı sunacağını söyleyemedi. SNI bunu hostname'i handshake'in şifrelenmemiş kısmına ekleyerek düzeltti. Şimdi yüzlerce site bir IP paylaşabilir — sunucu SNI'yı okur, eşleşen cert'i seçer, handshake tamamlanır.

Shared hosting ve CDN trafiğinin ölçekte çalışma şekli bu. Cloudflare, Fastly, Akamai milyonlarca domain'i küçük bir IP setinden sunar. SNI bunu mümkün kılan şey.

SNI neyi açığa çıkarır

Tam HTTPS ile bile:

• ISP'n ziyaret ettiğin her domain'i bilir.
• İşveren ağın bilir.
• Hükümet gözetim ekipmanı bilir.
• Yolda DPI çalıştıran herkes bilir.

Sayfa içeriği şifreli. Hedef değil. Ağdan gizlilik için bu, "ama HTTPS beni koruyor" mantığını yenen yan kanal.

Encrypted SNI: yavaş yayılma

Encrypted Client Hello (ECH) ve daha eski Encrypted SNI (ESNI) hostname'i şifrelemeye çalışır ki ağ okuyamasın. Her ikisi SNI'yı hedefin DNS üzerinden yayınladığı bir anahtarla şifreleyerek çalışır.

Adopsiyon kısmi:

• Cloudflare ECH'yi destekler.
• Firefox ECH'yi destekler (bazı bölgelerde varsayılan kapalı).
• Chrome'da deneysel destek.
• Çoğu CDN ve büyük site deploy etmedi.

ECH yaygın olana kadar SNI sızar. Ve agresif DPI yapan ağlarda ECH kullanan tarayıcılar bile filtrelenir veya downgrade edilir — sansürcü ECH girişimini tespit edip engelleyebilir.

VLESS Reality SNI'yı kaybolmak için nasıl kullanır

VLESS Reality SNI'yı alır ve onu kamuflaja dönüştürür. Handshake'in SNI'sı microsoft.com gibi gerçek bir public sitenin SNI'sıdır. Geri sunulan sertifika gerçek microsoft.com sertifikasıdır, gerçek CA tarafından imzalanmış. Telden bakan DPI için bu bağlantı microsoft.com'a giden başka herhangi bir HTTPS oturumundan ayırt edilemez — aynı SNI, aynı cert, aynı handshake timing'i.

Engellemek için sansürcü microsoft.com'u engellemeli — ki genellikle yapmazlar çünkü çok fazla diğer trafik ona bağlı. Bu, Reality ile TLS handshake'i taklit etmeye çalışan "obfuscated" VPN'ler arasındaki yapısal fark. Reality gerçek olanları kullanır.

Deep packet inspection, açıklandı yazısını oku bunun daha geniş sansür resmine nasıl uyduğu için, veya implementasyon detayları için VLESS Reality protokol sayfasını.

Fexyn'i 7 gün ücretsiz dene — Stealth public host'lara gerçek SNI kullanır ki DPI VPN değil normal HTTPS görsün.