HTTP/HTTPS транспортный уровень будущего в настоящем?

Еще Тим Бернерс-Ли пропагандировал HTTP как универсальное решение всех проблем, что ты хочешь.

девелоперы не хотят заботиться о транспорте

Это называется code reuse

Отлаживать чужие велосипеды-протоколы - это так увлекательно!

Честно говоря, а зачем изобретать велосипеды? Брать https или http/2 проще, чем писать свой протокол. Кроме того - протокол можно легко поменять, не меняя приложения. Многие приложения используют свои протоколы. Те же игровые приложения зачастую гоняют udp пакеты. Как и многие протоколы IM.

И причин тому две

И причина тому одна: всяческие прокси, фаерволы, от корпоративных до встроенных в домашние антивирусы. А http(s) везде пройдёт.

а tls на 443 для dpi выглядит одинаково(если ошибаюсь поправьте)

За милую душу блокируется по сертификатам.

Эм, а можно пример как средствами того-же iptables вычислить что за сертификат? Или там нужно оборудование помощнее?

... с таким подходом им не важно будет у пользователя ipv4 или ipv6 ...

Это юниксвэй, батенька. Юзай stdin & stdout и тебе море будет по колено, вообще по барабану, что там за стек.

Эм, а можно пример как средствами того-же iptables вычислить что за сертификат?

iptables -p tcp --sport 443 \
  -m string --string ".linux.org.ru" \
  --algo bm --from 10 --to 600 \
  -j REJECT

Это не про сертификат, а просто по доменному имени.

За милую душу блокируется по сертификатам.

В TLS 1.3 эти сообщения предполагается шифровать.

Это не про сертификат, а просто по доменному имени.

Но доменное имя указано в сертификате, который передаётся открытым текстом. Если заморочиться, можно и по другим полям сертификата фильтровать.

Посмотрел в wireshark...действительно из сертификата берется, я таким способом пользовался. но думал там все несколько проще. ну ок, буду знать

так туннели же. вся эта фигня только будет жрать проц, а эффективности будет ноль. борьба с интернетами - это глупость по своей сути. можно затратить на эту глупость кучу ресурсов, но она не будет работать. подобные блокировки нужны только если ты сам хочешь свой браузер ограничить, чтобы, например, баннеры всякие не лезли.

В TLS 1.3 эти сообщения предполагается шифровать.

Да, там ClientHello и ServerHello устанавливают shared key с помощью (EC)DHE, и весь дальнейший обмен (сертификаты, параметры шифрования данных и так далее) уже шифрован.

По сертификатам уже не пофильтруешь, будут фильтры вынуждать стороны принудительно переходить обратно на 1.2. Будут посылать ложный HelloRetryRequest.

так туннели же

А что туннели? У ТС «tls на 443». Тоже туннель, но пока сертификат в открытом виде, а значит фильтровать несложно.

борьба с интернетами - это глупость

Государствам не нужна «борьба», им нужен контроль. Пока одни государства давят на другие, ничем не гнушаясь ради своей выгоды, контроль информационных потоков необходим. Интернет давно превратился из маргинальной вольницы высоколобых в мутный омут.

tls на 443 на любой другой сервер. с которого туннель к твоему «запрещённому» домену. пытаться запретить доступ в интернете - это всё равно что пытаться выпить море. так же глупо и безрезультатно. то, что государством управляют идиоты - это печально, да. они создают проблемы для инженеров там, где проблем быть вообще не должно. но никогда их «блокировки» не будут работать.

то, что государством управляют идиоты - это печально

Только не государством, а государствами тогда уж. Контролировать интернет пытаются все сколь-нибудь значимые страны. От борьбы с незаконными казино, нелегальной торговлей, контрафактом и защиты персональных данных до борьбы с терроризмом и иностранным влиянием на политику.

да, количество идиотов не зависит от страны. но в этой стране в управление попадают только отборные идиоты. поэтому последствия их деятельности наиболее разрушительны. и мы можем их наблюдать.

но в этой стране в управление попадают только отборные идиоты. поэтому последствия их деятельности наиболее разрушительны. и мы можем их наблюдать.

Готов выслушать твои предложения по контролю. Про идиотов" слышу везде, предложений даже не ноль.

а какие предложения? ну, вот завтра можно на митинг сходить. но это вряд ли вызовет какую-то реакцию. тут мнение людей никого не интересует. радикальное средство - только трактор. потому что бороться с идиотами, играя по правилам идиотов, очевидно, бесполезно. тем более, что эти идиоты ещё и опасны: несогласных убивают, сажают, запрещают, обвиняют в «терроризме» и т.д. поэтому самое разумное - держаться от них как можно дальше.

SNI таки будут шифровать или нет?

tls 1.3 вроде уже нет. Хотя там тоже не все позакрывали.

Если я правильно понял из «tls 1.3 для чайников и кипятильников», по дефолту не шифруют, но оставили возможность сначала заслать фейковое имя о потом секретно подменить.

SNI таки будут шифровать или нет?

Запросы клиента — нет. Они же в ClientHello передаются, ещё до установления DH ключа. Сервер ответ отправит скорее всего шифрованным внутри EncryptedExtensions.

tls 1.3 вроде уже нет

Я уже писал, что в TLS 1.3 сертификаты будут передаваться зашифрованными. Фильтрация по SNI продолжит работать без изменений.

оставили возможность сначала заслать фейковое имя

Какое «фейковое имя»? Сервер выдаёт сертификат на имя из SNI, дальше возможности его сменить нет.

Если я правильно понял

Ты неправильно понял. Убрали требование к клиенту посылать тот же SNI в новом ClientHello по тикету от прошлой сесии. Разрешили любой, подходящий к прошлому сертификату. Идея в том, что если сервер обслуживает несколько доменов одним сертификатом, можно ускорить соединение, разрешив 0-RTT на любой из них. Но при этом SNI всё так же передаётся в открытом виде.

Не, 0-RTT это другое. Там где я читал речь шла именно про открытую передачу, что клиент при желании может там туфту передать, а потом выправить.

клиент при желании может там туфту передать, а потом выправить

Я пока не понимаю, где в протоколе он может что-то выправить с учетом того, что renegotiation запрещен в TLS 1.3, а сертификат передаётся сервером всего один раз непосредственно после ClientHello с SNI.

Не готов сейчас перерывать документы. Просто я специально высматривал именно момент с открытым именем, поэтому в голове отложилось. Возможно что-то не так понял. Но по дефолту передается открыто, тут ты точно прав.