News

AWS droht Signal mit Ausschluss wegen Umgehung von staatlicher Zensur

(Foto: Signal)

Die Betreiber des Messenger-Dienstes Signal nutzen eine als Domain-Fronting bekannte Technik, um die staatlichen Zensurmaßnahmen einiger Länder zu unterlaufen. Nach Google will jetzt auch AWS die Praxis unterbinden.

Autoritäre Regimes sind bekanntermaßen keine Fans von verschlüsselten Messaging-Diensten. Das bekamen auch die Betreiber des quelloffenen Messengers Signal in den letzten Jahren immer wieder zu spüren. Ihr Dienst ist bereits seit drei Jahren in Iran gesperrt und auch in Ägypten, Oman, Qatar und den Vereinigten Arabischen Emiraten wurde der Anbieter in den letzten Jahren blockiert. Um Nutzern in den betroffenen Regionen dennoch Zugang zu dem Messaging-Dienst zu bieten, nutzt das Signal-Team eine als Domain-Fronting bekannte Technik.

Beim Domain-Fronting wird eine TSL/SSL-Verbindung zu einer bestimmten Domain aufgebaut, dann aber über eine HTTPS-Verbindung auf eine andere Seite umgeleitet. Die Blockierung durch staatliche Stellen wird daher umgangen, weil der ursprüngliche TSL-Request, der öffentlich übertragen wird, auf eine nicht gesperrte Website verweist. Das Ganze funktioniert deshalb, weil große Cloud-Anbieter wie Google oder Amazon die Verarbeitung der Anfragen als getrennte Ebenen implementiert haben. Nur wollen beide Anbieter nicht, dass sie auch so verwendet werden.

Domain-Fronting: AWS droht Signal mit Ausschluss

Schon Anfang April 2018 hat Google die App-Engine dahingehend verändert, dass Domain-Fronting nicht mehr länger funktioniert. Daraufhin sind die Betreiber von Signal auf Amazons Web-Services (AWS) umgestiegen. Lange ging das aber offenbar auch nicht gut. Nachdem Amazon über Beiträge auf Github und Hacker News davon Wind bekam, dass Signal AWS zum Domain-Fronting einsetzt, hat der Konzern reagiert und die Messaging-Betreiber in einer E-Mail darüber informiert, dass diese Vorgehensweise gegen die AWS-Nutzungsrichtlinien verstoße.

Amazon argumentiert in dem Schreiben, dass Domain-Fronting grundsätzlich eine Gefahr für die Sicherheit darstellen würde, weil sich hier Seiten für andere Seiten ausgeben. Signal-Gründer Moxie Marlinspike hält das für Unsinn, weil sein Dienst ausschließlich eigene SSL-Zertifikate verwenden würde. Allerdings dürfte das auch keine große Rolle spielen, denn auch AWS wird es bald technisch unmöglich machen, Domain-Fronting einzusetzen. Laut Angaben von Marlinspike arbeitet Signal derzeit an einer robusteren Lösung, um staatliche Zensurmaßnahmen zu umgehen. Vorläufig können die Nationen mit einer Signal-Blockade jedoch einen Sieg davontragen.

Ebenfalls interessant:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.