Вопрос или проблема
Я пользователь, заботящийся о конфиденциальности, в настоящее время проживающий в России, где Интернет подвергается цензуре и контролю со стороны российского государства. Российские интернет-провайдеры по закону обязаны регистрировать и хранить весь интернет-трафик пользователей (хотя на практике, похоже, они регистрируют только метаданные, если трафик зашифрован с помощью TLS, и многие небольшие интернет-провайдеры вообще нарушают закон, не ведя логи) и предоставлять его правоохранительным органам по запросу. Россия блокирует многие популярные VPN, и Tor доступен только через непубличные мосты, неизвестные российским цензорам (они блокируют обнаруженные мосты).
В таких условиях использование практически любого VPN кажется лучше, чем отсутствие VPN, даже если рассматриваемый VPN является «медовой ловушкой», контролируемой китайцами и регистрирующей трафик пользователей в нарушении собственной политики конфиденциальности, как показал недавний утечка. Поэтому, чтобы повысить свою конфиденциальность на моем iPad, я дополнительно перенаправляю большую часть своего веб-трафика через Onion Browser, используя туннель Пользователь → VPN → Tor → Интернет.
Однако из-за ограничений iPadOS Onion Browser утечет информацию о трафике через запросы OCSP, которые обрабатываются на уровне операционной системы и не перенаправляются через Tor, а только через VPN, к которому я подключен. Учитывая, что запрос OCSP содержит серийный номер сертификата сайта, который можно легко использовать для поиска домена (например, на crt.sh), утечки OCSP в некоторой степени подрывают цель использования Tor в ситуации, когда мне не нужно скрывать свою личность от сайта, который я посещаю, но я хочу скрыть свой трафик от российских интернет-провайдеров, российского государства и потенциально любопытного VPN.
Так что мой вопрос следующий:
Насколько серьезной проблемой конфиденциальности является то, что VPN имеет доступ к моим запросам OCSP? Существует ли какая-либо информация (официальная или утечка) о том, регистрируют ли VPN, которые ведут учет трафика пользователей (открыто или скрытно), только метаданные трафика или также его содержимое? Использовался ли когда-либо зарегистрированный запрос OCSP для раскрытия трафика пользователя?
P.S.: Я могу (и иногда делаю) подключаться непосредственно к Tor через мост, о котором, похоже, российское государство не знает, но меня беспокоит, что это увеличивает вероятность обнаружения и блокировки моста (известно, что российские интернет-провайдеры используют DPI), поэтому я хочу оставить мосты Tor в качестве резервного варианта.
Я не знаю, есть ли VPN-провайдеры, которые перехватывают запросы OCSP, но да, VPN-провайдеры теоретически могут перехватывать запросы OCSP, потому что запросы OCSP не зашифрованы. И если это может угрожать вашей безопасности, то вам следует предположить, что они активно перехватывают и регистрируют их, даже если они говорят, что ничего не регистрируют. Если ваша безопасность под угрозой, всегда предполагаете, что все операторы VPN – лжецы, которые тесно сотрудничают с российским правительством, независимо от того, насколько надежными они могут показаться. Доверяйте только независимо проверяемым техническим мерам и не доверяйте тому, что просто является обещаниями.
Реалистично, нужно беспокоиться об этом в зависимости от того, кто управляет вашим VPN и где расположены их серверы. Если у вас довольно надежный сервис VPN без ведения логов, который не работает из России, то вряд ли они действительно выполнят российские ордера. Но если вы используете сервис VPN, который работает в России или имеет серверы в России, то российское правительство, вероятно, сможет заставить их вести учет вашего трафика OCSP/интернета.
Обратите внимание, что утечки OCSP раскрывают только сайт, который вы посещаете, но не содержимое трафика. Если это вас беспокоит, возможно, вы можете попробовать отключить OCSP (не возможно в iOS).
Также обратите внимание, что в настоящее время многие сайты используют OCSP-стаплинг. Если сайт, который вы посещаете, использует staple, то ваш браузер не делает запросов OCSP. Рассмотрите возможность спросить у оператора сайта, который вы посещаете, настроить OCSP-стаплинг, если они этого еще не сделали.
Ответ или решение
Вопрос о логировании и анализе запросов OCSP (Online Certificate Status Protocol) VPN-поставщиками является важным аспектом в сфере обеспечения приватности, особенно в условиях строгого контроля и цензуры, как в России. Рассмотрим подробнее, что такое OCSP, как его запросы могут повлиять на вашу конфиденциальность и как это касается использования VPN.
Что такое OCSP?
OCSP — это протокол, который позволяет проверить статус сертификата SSL/TLS. Когда устройство отправляет запрос OCSP, оно отправляет информацию о сертификате, включая его серийный номер, на сервер OCSP для подтверждения, действителен ли сертификат. Таким образом, если ваше устройство обращается к веб-сайту, оно может отправить OCSP-запрос, который может быть перехвачен VPN-поставщиком.
Влияние на конфиденциальность
-
Возможность перехвата запросов OCSP:
- Поскольку запросы OCSP не шифруются, VPN-поставщик может их перехватывать и анализировать. Это предоставляет им информацию о веб-сайтах, которые вы посещаете, что может быть использовано против вас, особенно в условиях, где приватность может быть крайне важной.
-
Логирование:
- В зависимости от политики логирования вашего VPN-поставщика, ваши OCSP-запросы могут храниться в логах. Некоторые VPN-сервисы утверждают, что они не ведут логи, но всегда существует риск того, что такая информация может быть запрашиваться правоохранительными органами в стране, где они работают.
-
Использование информации против пользователя:
- Хотя в большинстве случаев OCSP-запросы сами по себе не содержат содержимого вашего трафика, информация о доменах, к которым вы обращаетесь, может быть использована для анализа ваших интернет-привычек. В странах с жесткими мерами контроля, как Россия, это может создать дополнительные риски для пользователей.
Рекомендации
-
Выбор надежного VPN:
- Если вы рассматриваете возможность использования VPN, выбирайте провайдеров, рекомендованных независимыми источниками, и не работающих в России или странах с аналогичным уровнем контроля.
-
Поддержка OCSP Stapling:
- Многие современные веб-сайты используют OCSP Stapling, что позволяет избежать необходимости отправки отдельного OCSP-запроса. Важно использовать, в первую очередь, такие сайты, чтобы снизить риск утечки.
-
Ограничение OCSP-запросов:
- К сожалению, в iOS отключить OCSP нельзя, но вы можете использовать браузеры или другие приложения, которые поддерживают настройки, позволяющие контролировать или минимизировать OCSP-запросы.
Заключение
С учетом реальности интернет-цензуры в России и возможностей VPN-поставщиков перехватывать запросы OCSP, важно быть осведомленным о рисках. Выбор надежного VPN-поставщика, использование современных технологий (таких как OCSP Stapling) и осторожное обращение с личной информацией могут помочь сохранить вашу конфиденциальность в сложных условиях.
Следует помнить, что в условиях, где ваша безопасность на кону, лучше всегда предполагать, что все провайдеры могут потенциально иметь доступ к данным, которые логируются, и принимать обоснованные меры для защиты своей конфиденциальности.