[Berlin-wireless] Traffic ausleiten (war: Abschaltung vpn03-backup.berlin.freifunk.net)

[Malte]

On Tue, 16 Feb 2016, Oliver Buschjost wrote:

> Falls dem aber so ist ließe sich die Liste der IPs sicher auch 
> automatisiert crawlen um die angebotenen Zertifikate zu überprüfen. 

Dank SNI https://de.wikipedia.org/wiki/Server_Name_Indication kann man bei 
HTTPS (genauso wie bei einem normalen HTTP-VHost) nur mit dem Wissen der 
IP des Servers *nicht* herausbekommen, welche Hostnamen er alle bedient.

Technisch könnte man auf einem FF-Node die DNS-Anfragen mitloggen und 
darüber dann IP-"Whitelists" aufbauen, aber dann weiß halt niemand, ob 
nicht der eine Server, der auf blatube.com hört, nicht doch auch noch 
merkel.de hostet (gut, das ist wohl eher theoretisch, aber wer weiß).

Und ist eigentlich sicher, dass Youtube etc. unproblematisch sind? Wer 
sagt denn, dass die nicht auch IPs rausrücken, wenn denn die 
entsprechenden Stellen hier doch irgendwann mal Englisch lernen und 
E-Mails statt Faxe verschicken? Oder noch einfacher, wenn jemand auf 
Wikipedia uneingeloggt Mist hochlädt und sich jemand dran stört, wird doch 
vermutlich auch als allererstes beim ISP angefragt, da die IP ja dann 
schon einfach so offenliegt? - Ist jetzt eine ernste Frage - schön wäre 
ja, wenn das alles wasserdicht wäre, aber ich kann gerade nicht erkennen, 
wieso das so sein sollte...

Grüße,
Malte