Çini TLS 1.3 protokolundan və tələb olunan host haqqında məlumatların şifrələnməsini təmin edən ESNI (Şifrələnmiş Server Adı Göstərişi) TLS genişləndirməsindən istifadə edən bütün HTTPS bağlantıları. Bloklama tranzit marşrutlaşdırıcılarda həm Çindən xarici dünyaya, həm də xarici dünyadan Çinə qurulan əlaqələr üçün həyata keçirilir.
Bloklama əvvəllər SNI məzmun-selektiv bloklama ilə yerinə yetirilən RST paketinin dəyişdirilməsi ilə deyil, paketləri müştəridən serverə atmaqla həyata keçirilir. ESNI ilə paketin bloklanması işə salındıqdan sonra mənbə IP, təyinat IP və təyinat port nömrəsi kombinasiyasına uyğun gələn bütün şəbəkə paketləri də 120-180 saniyə ərzində bloklanır. ESNI olmadan TLS və TLS 1.3-ün köhnə versiyalarına əsaslanan HTTPS bağlantılarına həmişəki kimi icazə verilir.
Xatırladaq ki, bir neçə HTTPS saytının bir IP ünvanı üzərində işi təşkil etmək üçün şifrələnmiş rabitə kanalı yaratmazdan əvvəl ötürülən ClientHello mesajında host adını aydın mətnlə ötürən SNI genişləndirilməsi hazırlanmışdır. Bu xüsusiyyət İnternet provayderi tərəfində HTTPS trafikini seçici şəkildə filtrləməyə və istifadəçinin hansı saytları açdığını təhlil etməyə imkan verir ki, bu da HTTPS istifadə edərkən tam məxfiliyə nail olmağa imkan vermir.
TLS 1.3 ilə birlikdə istifadə edilə bilən yeni TLS uzantısı ECH (keçmiş ESNI) bu çatışmazlığı aradan qaldırır və HTTPS bağlantılarını təhlil edərkən tələb olunan sayt haqqında məlumat sızmasını tamamilə aradan qaldırır. Məzmun çatdırılması şəbəkəsi vasitəsilə girişlə birlikdə ECH/ESNI-dən istifadə həm də tələb olunan resursun IP ünvanını provayderdən gizlətməyə imkan verir. Trafikin yoxlanılması sistemləri yalnız CDN-yə sorğuları görəcək və TLS sessiyasının saxtalaşdırılması olmadan bloklamağı tətbiq edə bilməyəcək, bu halda istifadəçinin brauzerində sertifikat saxtakarlığı haqqında müvafiq bildiriş göstəriləcək. DNS mümkün sızma kanalı olaraq qalır, lakin müştəri DNS-ə girişi gizlətmək üçün DNS-over-HTTPS və ya DNS-over-TLS istifadə edə bilər.
Tədqiqatçılar artıq Müştəri və server tərəfində Çin blokunu keçmək üçün bir neçə həll yolu var, lakin onlar əhəmiyyətsiz ola bilər və yalnız müvəqqəti tədbir kimi qəbul edilməlidir. Məsələn, hazırda yalnız ESNI genişləndirilməsi ID-si 0xffce (şifrələnmiş_server_adı) olan paketlər. , lakin hazırda təklif olunan cari identifikator 0xff02 (şifrələnmiş_müştəri_salam) olan paketlər .
Başqa bir həll yolu, qeyri-standart əlaqə danışıqları prosesindən istifadə etməkdir, məsələn, səhv ardıcıllıq nömrəsi ilə əlavə SYN paketi əvvəlcədən göndərildikdə, paket parçalanma bayraqları ilə manipulyasiyalar, həm FIN, həm də SYN ilə paket göndərildikdə bloklama işləmir. bayraqların qoyulması, səhv nəzarət məbləği ilə RST paketinin dəyişdirilməsi və ya SYN və ACK bayraqları ilə paket bağlantısı danışıqları başlamazdan əvvəl göndərilməsi. Təsvir edilən üsullar alətlər dəsti üçün plagin şəklində artıq tətbiq edilmişdir , senzura üsullarından yan keçmək.
Mənbə: opennet.ru