Los bloqueos de Digi ordenados por LaLiga esconden un misterioso certificado SSL. Y tiene todo el sentido
LaLiga incluye cada semana una serie de direcciones IP y URLs en el listado judicial de bloqueos y los operadores deben acatar la sentencia restringiendo el tráfico de su red. Y el pasado fin de semana saltó una novedad: según alertaban los usuarios de Digi, el operador estaba interceptando el tráfico con certificados SSL no autorizados. Existen diversas formas de restringir el acceso a una web concreta. Por lo general, basta con desconectarla de las redes; una acción que los operadores pueden llevar a cabo bloqueando la URL, la dirección IP, el dominio vía DNS o redirigiendo el tráfico. También se especula con el uso de certificados SSL como parte de ese filtrado. ¿Está Digi utilizando esta última estrategia? Ya tenemos la respuesta. Digi redirige a una pagina de aviso si la web a la que accede el usuario está bloqueada Conexión cifrada con un certificado SSL válido El revuelo se iniciaba por un mensaje en X de Sergio de Luz. En dicho mensaje alertaba sobre un supuesto certificado SSL colocado por Digi entre el ordenador del usuario y su servidor domótico. Dicho servidor está basado en Home Assistant de la Open Home Foundation, un software domótico open source. El problema llegó porque la integración de Sergio de Luz se basa en Cloudflare, una plataforma involucrada en los bloqueos de LaLiga. En Xataka Móvil Mientras LaLiga tropieza con Cloudflare en España, DAZN logra un bloqueo revolucionario contra la piratería en Bélgica Nos hemos puesto en contacto con Digi a raíz del SSL al que hacía alusión Sergio y la respuesta fue clara: el operador está bloqueando ciertas conexiones de su red hacia servicios incluidos en el listado judicial que LaLiga actualiza cada semana. Aunque el certificado existe, la función no es la de filtrar las conexiones del usuario, sino la de cargar una página de aviso manteniendo la conexión cifrada entre el ordenador del usuario y los servidores de Digi. Según nos ha especificado el operador: «Digi, en ejecución de la sentencia, realiza bloqueos de las IP que la LaLiga/TAD Movistar+ solicitan. Y asimismo informa cuando se intenta acceder a un contenido que ha sido bloqueado conforme a esa sentencia; redirigiendo el tráfico que apunta a la IP bloqueada a una URL (https://) de Digi. Es esta conexión a la URL de Digi, que contiene el mensaje informativo, la que se encripta con un certificado SSL, como es normal. Digi en ningún caso realiza "filtrados de las conexiones”». Dado que las conexiones en Internet van cifradas de extremo a extremo con certificados SSL que contienen las claves, también la página que muestra el aviso de bloqueo debe ir encriptada. Es aquí donde Digi utiliza su propio SSL, el que emplea para cargar la web donde muestra el aviso de que la conexión fue bloqueada. El proceso es el siguiente: Como es habitual en cualquier conexión segura de la web, las páginas informativas también deben servirse mediante HTTPS; lo que implica el uso de un certificado SSL. En el caso de Digi, el operador utiliza un SSL propio para cifrar la conexión del usuario con el servidor. El proceso funciona así: Cuando un usuario intenta acceder a una web que ha sido incluida en el listado de direcciones IP a bloquear, el acceso queda restringido. Digi, en vez de dejar que la conexión falle o se muestre un mensaje de error, redirige el tráfico a una página informativa propia; que avisa al usuario de que el servicio al que intenta acceder no se encuentra disponible. La página se sirve a través de una dirección propia de Digi, como https://bloqueo.digi.es (dirección ficticia de ejemplo). El acceso a la página requiere un certificado SSL para ser seguro. Dicho SSL está emitido por Digi o por una autoridad válida. El navegador muestra el certificado SSL en discordia porque ya no está conectado a la web original, sino a la web de aviso de Digi. Imagen de portada | Iván Linares En Xataka Móvil | Los bloqueos de LaLiga están lejos de acabar. Ahora son las telecos las que salen a defenderlos - La noticia Los bloqueos de Digi ordenados por LaLiga esconden un misterioso certificado SSL. Y tiene todo el sentido fue publicada originalmente en Xataka Móvil por Iván Linares .
LaLiga incluye cada semana una serie de direcciones IP y URLs en el listado judicial de bloqueos y los operadores deben acatar la sentencia restringiendo el tráfico de su red. Y el pasado fin de semana saltó una novedad: según alertaban los usuarios de Digi, el operador estaba interceptando el tráfico con certificados SSL no autorizados.
Existen diversas formas de restringir el acceso a una web concreta. Por lo general, basta con desconectarla de las redes; una acción que los operadores pueden llevar a cabo bloqueando la URL, la dirección IP, el dominio vía DNS o redirigiendo el tráfico. También se especula con el uso de certificados SSL como parte de ese filtrado. ¿Está Digi utilizando esta última estrategia? Ya tenemos la respuesta.
Digi redirige a una pagina de aviso si la web a la que accede el usuario está bloqueada
Conexión cifrada con un certificado SSL válido
El revuelo se iniciaba por un mensaje en X de Sergio de Luz. En dicho mensaje alertaba sobre un supuesto certificado SSL colocado por Digi entre el ordenador del usuario y su servidor domótico. Dicho servidor está basado en Home Assistant de la Open Home Foundation, un software domótico open source. El problema llegó porque la integración de Sergio de Luz se basa en Cloudflare, una plataforma involucrada en los bloqueos de LaLiga.
Nos hemos puesto en contacto con Digi a raíz del SSL al que hacía alusión Sergio y la respuesta fue clara: el operador está bloqueando ciertas conexiones de su red hacia servicios incluidos en el listado judicial que LaLiga actualiza cada semana. Aunque el certificado existe, la función no es la de filtrar las conexiones del usuario, sino la de cargar una página de aviso manteniendo la conexión cifrada entre el ordenador del usuario y los servidores de Digi.
Según nos ha especificado el operador:
«Digi, en ejecución de la sentencia, realiza bloqueos de las IP que la LaLiga/TAD Movistar+ solicitan. Y asimismo informa cuando se intenta acceder a un contenido que ha sido bloqueado conforme a esa sentencia; redirigiendo el tráfico que apunta a la IP bloqueada a una URL (https://) de Digi. Es esta conexión a la URL de Digi, que contiene el mensaje informativo, la que se encripta con un certificado SSL, como es normal. Digi en ningún caso realiza "filtrados de las conexiones”».
Dado que las conexiones en Internet van cifradas de extremo a extremo con certificados SSL que contienen las claves, también la página que muestra el aviso de bloqueo debe ir encriptada. Es aquí donde Digi utiliza su propio SSL, el que emplea para cargar la web donde muestra el aviso de que la conexión fue bloqueada. El proceso es el siguiente:
Como es habitual en cualquier conexión segura de la web, las páginas informativas también deben servirse mediante HTTPS; lo que implica el uso de un certificado SSL. En el caso de Digi, el operador utiliza un SSL propio para cifrar la conexión del usuario con el servidor. El proceso funciona así:
- Cuando un usuario intenta acceder a una web que ha sido incluida en el listado de direcciones IP a bloquear, el acceso queda restringido.
- Digi, en vez de dejar que la conexión falle o se muestre un mensaje de error, redirige el tráfico a una página informativa propia; que avisa al usuario de que el servicio al que intenta acceder no se encuentra disponible.
- La página se sirve a través de una dirección propia de Digi, como https://bloqueo.digi.es (dirección ficticia de ejemplo).
- El acceso a la página requiere un certificado SSL para ser seguro. Dicho SSL está emitido por Digi o por una autoridad válida.
- El navegador muestra el certificado SSL en discordia porque ya no está conectado a la web original, sino a la web de aviso de Digi.
Imagen de portada | Iván Linares
En Xataka Móvil | Los bloqueos de LaLiga están lejos de acabar. Ahora son las telecos las que salen a defenderlos
-
La noticia
Los bloqueos de Digi ordenados por LaLiga esconden un misterioso certificado SSL. Y tiene todo el sentido
fue publicada originalmente en
Xataka Móvil
por
Iván Linares
.