Non, il ne s’agit pas d’un nouveau concurrent pour Tor (réseau) ou Freenet. Il s’agit juste d’un outil pour les personnes auto‐hébergées (héberger chez soit son site, son service de messagerie etc...) qui voudraient accéder à tous leurs services de n’importe où.

Cette dépêche explique son fonctionnement et ce qu’apporte sa dernière version.

Site officiel de sslh (EN)
sslh dans Debian Sid (FR)

Pour ceux qui ne connaissent pas, sslh part d’un constat simple : la majorité des réseaux (d’entreprise ou publics) n’acceptent plus que le HTTP. La solution des décideurs pressés est faire du HTTP pour tout « parce que ça marche partout », ça devient donc un cercle vicieux. sslh est un outil pour les idiots qui croient encore que si un protocole a été fait et optimisé pour quelque chose, c’est pour cet usage que l’on s’en sert.





Fonctionnalités premières

sslh est un raccourci pour SSL/SSH multiplexer. À l’origine, c’était un démon Perl, il a maintenant été ré‐implémenté en C pour être plus performant.

Il permet de faire tourner HTTPS et SSH sur le même port. sslh est une sorte de point d’entrée qui redirige les connexions vers le bon service.

Si on l’utilise sur le port 443, cela permet de pouvoir se connecter en SSH en utilisant le port 443 (non filtré sur la plupart des réseaux contrairement au port 22) tout en pouvant servir des pages Web en HTTPS, avec une seule adresse IP.





Comment ça marche

sslh ne déchiffre pas les connexions qui arrivent. Il repose sur une très grande différence entre le protocole SSH et HTTPS : « qui parle le premier ? ».

Dans le cas du HTTP, le client se connecte en disant « je veux telle page ». A contrario, en SSH le client attend que le serveur se présente. De cette manière, à chaque connexion, sslh attend un certain temps (configurable). Puis, si pendant ce laps de temps :

le client ne parle pas, il redirige la connexion vers le serveur SSH ;
le client parle, il redirige la connexion vers le serveur HTTPS.





Les nouvelles fonctionnalités

La version 1.10 supporte maintenant tous les protocoles dont vous aurez besoin pour avoir un vrai Internet comme à la maison :

OpenVPN, qui vous permettra d’utiliser votre serveur comme point de sortie de votre connexion ;
Tinc, OpenVPN en mieux ;
XMPP, que certains connaissent sans doute mieux sous le nom de « Jabber ».





Mais comment est‐ce possible ?!

Eh bien, ces trois nouveaux protocoles ont aussi des particularités qui leurs sont bien singulières. Et sslh redirige les connexions en fonction de ces caractéristiques :

le client OpenVPN commence tout le temps sa connexion par les octets 0x00, 0x0D et 0x38 ;
le client Tinc, quant à lui, commence par « 0 » ;
le client XMPP commence sa connexion avec un paquet contenant « jabber ».





Filtrer intelligemment le port 443

Peut‐être avez‐vous peur maintenant que, sachant cela, les censeurs commencent à filtrer intelligemment le port 443.

Ne vous inquiétez pas, les décideurs pressés n’ont pas le temps de bloquer cinq gus dans un garage, qui veulent voir leur courriel en IMAP et non pas en HTTP avec Gmail. Les seuls ennemis de sslh sont les réseaux qui filtrent avec une liste blanche d’adresses IP.


Sources: linuxfr