域前置(英语:Domain fronting),又译域名幌子,是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。
此技术的原理为在不同通信层使用不同的域名。在明文的DNS请求和TLS服务器名称指示(SNI)中使用无害的域名来初始化连接、公布给审查者,而实际要连接的“敏感”域名仅在创建加密的HTTPS连接后发出,使其不以明文暴露给网络审查者。
这种举动在被封锁的站点与无害站点为同一个大型服务提供商时较为可行,例如由内容分发网络提供的服务。此时审查者通常很难区分被伪装流量与合法流量的特点,迫使审查者选择放行所有看似无害的流量,或者选择彻底封锁此域的流量。而彻底封锁可能带来显著的附加损害。
Signal加密即时通讯应用程序在 2016-2018 年内置了域前置来规避在埃及、阿曼、卡塔尔和阿拉伯联合酋长国的屏蔽。
Telegram为应对Roskomnadzor的屏蔽曾使用亚马逊云计算服务进行域前置。
Tor使用一种称为meek网桥的域前置实现来规避审查。俄罗斯黑客组织Cozy Bear(或称APT29)使用Tor的meek网桥来隐藏恶意流量。流量就像连接到使用CDN的普通网站一样。
Cloudflare在2016年的一些修改让基于其CDN的域前置不再工作。
Google于2018年4月宣布将在Google应用服务引擎禁用域前置,称这从未是Google有意支持的一项功能。亚马逊公司也在不久后决定停用CloudFront上的域前置兼容,表示这已被视为违反亚马逊网络服务系统(AWS)服务条款。有报道认为,Google和亚马逊做此决定的部分原因是来自俄罗斯政府的压力,因Telegram在当地使用这两家云服务提供商进行域前置活动。
Tor早前也使用Google和亚马逊的云服务进行域前置以保护用户活动,在两者相继关闭域前置兼容后,Tor将域前置服务转移到尚未决定关闭该兼容的Microsoft Azure服务,但尚不知微软会否对其提供持续支持,微软公司没有回应CyberScoop提出的置评请求。
虽然域前置技术可以帮助用户绕过互联网审查,但黑客组织和恶意软件也会使用该技术。FireEye曾报道称,与俄罗斯相关的黑客组织APT29使用该技术从目标网络中窃取数据。CyberArk等公司则详细介绍了恶意软件如何利用该技术控制僵尸网络。赛风(Psiphon)总裁迈克尔·赫尔(Michael Hull)告诉媒体CyberScoop,他公司的产品从未依赖域前置技术,并将这种做法描述为“解决难题的一个捷径”、“域前置本身不是很有效,结合混淆、HTTP标头修改、传输碎片化等一系列技术才能击败强大的审查者,多元化审查规避工具包的重要性不容小视”,并补充道:“域前置正在击溃内容分发网络的设计,这也是亚马逊和谷歌禁止该技术的原因。”Tor发言人Whited则不太同情两公司的决定,并指责这两家公司作出了轻率的决定,终结了世界的各地记者和活动家的一种非常重要的通信手段。
2018年7月左右的互联网工程任务组(IETF)会议上,苹果公司、Cloudflare和Mozilla的工程师在一项名为“加密服务器名称指示(ESNI)”的新协议上获取了进展,该协议将能解决TLS SNI暴露给窃听者的问题。但是,该协议的定稿和部署可能仍需数年。
不完全统计,目前兼容域前置的CDN有 Automattic、Fastly、Incapsula(英语:Incapsula)、Microsoft Azure、StackPath。
不少网站未使用CDN,但是其HTTP服务器接受无SNI或不同SNI连接,因此用户也可以使用域前置绕过对于它们的检测SNI的屏蔽。
谷歌网页服务器也兼容域前置。
