Kina sve HTTPS veze koje koriste TLS 1.3 protokol i ESNI (Encrypted Server Name Indication) TLS ekstenziju, koja omogućava enkripciju podataka o traženom hostu. Blokiranje se vrši na tranzitnim ruterima kako za veze uspostavljene iz Kine prema vanjskom svijetu, tako i iz vanjskog svijeta prema Kini.
Blokiranje se vrši ispuštanjem paketa sa klijenta na server, a ne zamenom RST paketa koja je prethodno izvršena SNI selektivnim blokiranjem sadržaja. Nakon što se aktivira blokiranje paketa pomoću ESNI, svi mrežni paketi koji odgovaraju kombinaciji izvorne IP adrese, odredišne IP adrese i broja odredišnog porta također se blokiraju na 120 do 180 sekundi. HTTPS veze zasnovane na starijim verzijama TLS-a i TLS 1.3 bez ESNI-a su dozvoljene kao i obično.
Podsjetimo, kako bi se organizirao rad na jednoj IP adresi nekoliko HTTPS stranica, razvijena je SNI ekstenzija, koja prenosi ime hosta u čistom tekstu u ClientHello poruci koja se prenosi prije instaliranja šifriranog komunikacijskog kanala. Ova funkcija omogućava na strani internet provajdera da selektivno filtrira HTTPS promet i analizira koje stranice korisnik otvara, što ne omogućava postizanje potpune povjerljivosti pri korištenju HTTPS-a.
Nova TLS ekstenzija ECH (ranije ESNI), koja se može koristiti u sprezi sa TLS 1.3, eliminiše ovaj nedostatak i potpuno eliminiše curenje informacija o traženom sajtu prilikom analize HTTPS konekcija. U kombinaciji s pristupom putem mreže za isporuku sadržaja, korištenje ECH/ESNI također omogućava sakrivanje IP adrese traženog resursa od provajdera. Sistemi za inspekciju saobraćaja će vidjeti samo zahtjeve prema CDN-u i neće moći primijeniti blokiranje bez lažiranja TLS sesije, u kom slučaju će se odgovarajuće obavještenje o lažiranju certifikata prikazati u pretraživaču korisnika. DNS ostaje mogući kanal za curenje, ali klijent može koristiti DNS-over-HTTPS ili DNS-over-TLS da sakrije DNS pristup klijenta.
Istraživači su već Postoji nekoliko zaobilaznih rješenja za zaobilaženje kineskog bloka na strani klijenta i servera, ali oni mogu postati irelevantni i treba ih smatrati samo privremenom mjerom. Na primjer, trenutno samo paketi sa ESNI ekstenzijom ID 0xffce (encrypted_server_name), koja je korištena u , ali za sada paketi sa trenutnim identifikatorom 0xff02 (encrypted_client_hello), predložen u .
Drugo zaobilazno rješenje je korištenje nestandardnog procesa pregovaranja o vezi, na primjer, blokiranje ne radi ako se unaprijed pošalje dodatni SYN paket s pogrešnim redoslijedom, manipulacije s oznakama fragmentacije paketa, slanje paketa i sa FIN i SYN postavljene zastavice, zamjena RST paketa s netačnom kontrolnom količinom ili slanje prije nego što započne pregovaranje paketne veze sa SYN i ACK zastavicama. Opisane metode su već implementirane u obliku dodatka za alat , da zaobiđu metode cenzure.
izvor: opennet.ru