数日前、カザフスタンのgov-tは、すべての(ほぼ)ISP上のすべてのhttpsトラフィックでgov-t署名付きSSL証明書の使用を強制する法律を通過させました。したがって、 https://google.com にアクセスすると、ブラウザは証明書が信頼できないことを警告し、証明書を手動で信頼またはインストールする必要があります。
つまり、gov-t発行の証明書を使用してトラフィックを暗号化し、ISPレベルで再度復号化してから、original(有効な)証明書によって暗号化されてから、送信されます。アクセスするWebサイトこれは基本的に、ISPがHTTPをずっと使用しているかのように、ISPがデータを好きなように処理できることを意味します。
私の知る限り、1つのソリューションは、信頼できるVPNサービスを使用することです。ただし、これにより、使用エクスペリエンスが大幅に低下し、VPNプロバイダーを信頼できるようになります(大部分は確認する必要がありません)。
だから私の質問は:DNSを変更して言うなら、1.1.1.1
by Cloudflare
、それは私のISPが仲介者として振る舞うことを妨げますか?
編集:それが役に立たない場合、プライバシーを保護するために何ができますか?
DNSを変更すると、ISPレベルでのMITMの防止に役立ちますか?
つまり、DNSサーバーを変更するだけでは効果がない可能性が非常に高くなります。
ISPが顧客のトラフィックをリダイレクトまたはMITMするために使用する可能性のあるいくつかのテクノロジーがあります。
それでも問題が解決しない場合、プライバシーを保護するにはどうすればよいですか?
それは、MITMがどのように行われ、どのように(技術的および合法的に)実施されるかに依存します。運が良ければ、VPNまたはTorまたはSSHトンネルなどが機能し、これらを使用しても法的な問題は発生しません。
一般に、回避策は、分析されないものを使用することです。
ブラウザ外の一部のアプリケーションがSSLピン留めを実行し(WindowsのDropboxだと思います)、政府がこれらのアプリケーションの動作を許可したい場合、傍受されないドメインのホワイトリストがある可能性があります。これは、これらのドメインへのトラフィックがあるように見えるが実際には別の場所に接続しているカスタムトンネルで使用できます。ただし、一部の高度なトラフィック分析では、このような誤用がISPによって検出され、違法として扱われる可能性があることに注意してください。
カザフスタンはすべてのHTTPトラフィックを傍受していますが、DNSは本質的にプレーンテキストであるため、すでにすべてのHTTPトラフィックをログに記録して傍受しています。
DNSサーバーの変更は役に立ちません。とにかく、すべてのHTTPトラフィックがログに記録されるため、実際にDNSを暗号化しても役に立たない...
私は実際にはカザフスタンについて少し知っており、それらもVPNをブロックしているので、それも機能しません。
匿名を維持する方法の1つは、次のようなものを使用することです。 https://shadowsocks.org/en/index.html