Amazon heeft de versleutelde chat-app Signal verboden om Amazons diensten voor domain fronting te gebruiken, een techniek waarmee censuur en blokkades in landen omzeild kan worden. Bij het opzetten van een verbinding tussen gebruiken en server maakt Signal gebruik van een beveiligde verbinding.
De tls-handshake die hiervoor wordt gebruikt bevat de naam van de Signal-server. Iets waar een provider op kan filteren en blokkeren. Verschillende clouddiensten, zoals Amazon en Google, hadden een oplossing voor dit probleem. De laag voor het verwerken van een verzoek was bij deze diensten gescheiden van de laag waar de tls-verbinding eindigt. Hierdoor is het mogelijk om een tls-verbinding op te zetten die naar domein A lijkt te gaan, maar in werkelijkheid wordt het verzoek door domein B ontvangen en verwerkt. Deze techniek wordt domain fronting genoemd.
Signal kondigde deze techniek al in 2016 aan om overheidscensuur en -blokkades te omzeilen. Onlangs werd er een aanpassing in de code van Signal ontdekt om Amazons Souq.com hiervoor te gebruiken. Dit kwam via Hacker News in de openbaarheid, waarop Amazon een bief naar Signal stuurde. Volgens de internetgigant zou Signal door het gebruik van domain fronting de voorwaarden van Amazon Web Services overtreden.
In eerste instantie maakte Signal gebruik van Google voor domain fronting. Hierdoor was de chatdienst toch beschikbaar in landen als Egypte, Oman, Qatar en de Verenigde Arabische Emiraten, waar directe toegang tot de dienst wordt geblokkeerd. Als de landen Signal zouden willen blokkeren, hadden ze ook Google.com moeten blokkeren. Iets wat ze niet wilden doen. In Iran werkte dit echter niet vanwege de Amerikaanse sancties. Verschillende organisaties besloten Google onder druk te zetten om domain fronting toch in Iran mogelijk te maken.
Dit leidde tot discussies binnen Google, waarbij er uiteindelijk voor werd gekozen om domain fronting helemaal niet meer aan te bieden. De internetgigant wil zich niet in een positie plaatsen waarbij het dekking voor een domein biedt dat landen willen blokkeren. Vervolgens liet Google aan Signal weten dat domain fronting niet meer zou werken, waarop de chatdienst naar Amazon keek. Volgens Signal is het gebruik van domain fronting niet in strijd met de voorwaarden van Amazon. Het bedrijf heeft echter aanpassingen aangekondigd waardoor domain fronting ook op Amazons diensten niet meer zal werken.
"Nu Google Cloud en Amazon Web Services uit beeld zijn, lijkt het erop dat domain fronting als techniek om censuur te omzeilen niet meer levensvatbaar is in landen waar Signal deze feature had ingeschakeld", zegt Signal-oprichter Moxie Marlinspike. "Het idee achter domain fronting is dat om één website te blokkeren, je de rest van het internet ook moet blokkeren. De rest van het internet vond dat echter geen goed idee." Signal kijkt nu naar andere oplossingen. "Landen die censureren hebben (in ieder geval tijdelijk) hun doel bereikt. Helaas hoefden ze alleen maar te wachten", aldus Marlinspike.
Deze posting is gelocked. Reageren is niet meer mogelijk.