Domain fronting

from 2022/10

Domain fronting

ドメイン・フロンティング

Snowflake：誰でも「検閲回避」を支援できるブラウザ拡張 | p2ptk.org https://p2ptk.org/freedom-of-speech/3995

Tor Browser

https://www.torproject.org/

https://snowflake.torproject.org/

https://gyazo.com/5147650cb27689450d383e9960902949

Domain fronting - Wikipedia https://en.wikipedia.org/wiki/Domain_fronting

HTTP ホストヘッダーと TLS の SNI について - Qiita https://qiita.com/Isato-Hiyama/items/8798b144ae82957814ff

https://gyazo.com/f18d2c5afcf0930650be1c976f606b6f

https://gyazo.com/53c7ee812c5115a484b13299f00cf29b

CDN, WAF やリバースプロキシ等を経由する構成にしたときに、要件によってはリバースプロキシとバックエンドの Web サービスの両方で同じカスタムドメインを割り当てないといけない場合があります。例えばドメイン属性をもつクッキーや Location ヘッダー等がある場合です。

このような構成の場合、以下の例のようにそれぞれのサービスにアクセスするための FQDN はループしないように異なるものにする必要があります。さらに FQDN としては共通のカスタムドメインも別途割り当てる必要があり、混乱しやすいため、"名前解決に利用する FQDN" と "TLS の SNI" , "HTTP のホストヘッダー" は分けて考えることをお勧めします。

前解決に利用する FQDN

TLS の SNI

HTTP のホストヘッダー

例では 1-1, 2-1 の FQDN は異なっていますが、1-5,2-5 の SNI と 1-6,2-6 のホストヘッダーは同じになっています。

Edge,Chrome 等の一般的な Web ブラウザを使った場合、URL 内の FQDN = (名前解決に利用する FQDN, TLS の SNI, HTTP のホストヘッダー) となりますが、クライアントとして curl, openssl 等を使うことでそれぞれの FQDN を変更することができます。

How to Detect Domain Hiding (a.k.a. as Domain Fronting) – ntop https://www.ntop.org/ndpi/how-to-detect-domain-hiding-a-k-a-as-domain-fronting/

https://gyazo.com/34338e78de64ef717d0cd102d25f105a