China tanang HTTPS nga koneksyon nga naggamit sa TLS 1.3 protocol ug sa ESNI (Encrypted Server Name Indication) TLS extension, nga naghatag ug encryption sa data mahitungod sa gihangyo nga host. Ang pag-block gihimo sa mga transit router alang sa mga koneksyon nga gitukod gikan sa China ngadto sa gawas nga kalibutan, ug gikan sa gawas nga kalibutan ngadto sa China.
Ang pag-block gihimo pinaagi sa paghulog sa mga packet gikan sa kliyente ngadto sa server, imbes sa RST packet substitution nga kaniadto gihimo sa SNI content-selective blocking. Human ma-trigger ang usa ka packet nga adunay ESNI, ang tanang network packets nga katumbas sa kombinasyon sa source IP, destination IP ug destination port number gibabagan usab sulod sa 120 ngadto sa 180 segundos. Ang mga koneksyon sa HTTPS nga gibase sa mga daan nga bersyon sa TLS ug TLS 1.3 nga walay ESNI gitugutan sama sa naandan.
Atong hinumdoman nga aron maorganisar ang trabaho sa usa ka IP address sa daghang HTTPS nga mga site, ang extension sa SNI naugmad, nga nagpasa sa ngalan sa host sa tin-aw nga teksto sa mensahe sa ClientHello nga gipasa sa wala pa magbutang usa ka naka-encrypt nga channel sa komunikasyon. Kini nga feature nagpaposible sa kilid sa Internet provider nga pilion ang pagsala sa trapiko sa HTTPS ug pag-analisar kung unsang mga site ang giablihan sa user, nga wala magtugot sa pagkab-ot sa hingpit nga kompidensyal sa paggamit sa HTTPS.
Ang bag-ong extension sa TLS nga ECH (kanhi ESNI), nga mahimong gamiton kauban sa TLS 1.3, nagwagtang niini nga kakulangan ug hingpit nga nagwagtang sa leakage sa impormasyon mahitungod sa gihangyo nga site sa dihang nag-analisar sa mga koneksyon sa HTTPS. Inubanan sa pag-access pinaagi sa usa ka network sa paghatud sa sulud, ang paggamit sa ECH/ESNI nagpaposible usab nga itago ang IP address sa gihangyo nga kapanguhaan gikan sa provider. Ang mga sistema sa pag-inspeksyon sa trapiko makakita ra sa mga hangyo sa CDN ug dili magamit ang pag-block kung wala ang TLS session spoofing, diin ang usa ka katugbang nga pahibalo bahin sa pagpanglimbong sa sertipiko ipakita sa browser sa gumagamit. Ang DNS nagpabilin nga posible nga leak channel, apan ang kliyente makagamit sa DNS-over-HTTPS o DNS-over-TLS aron itago ang DNS access sa kliyente.
Nahimo na sa mga tigdukiduki Adunay ubay-ubay nga mga solusyon aron malaktawan ang bloke sa China sa bahin sa kliyente ug server, apan mahimo kini nga walaβy kalabotan ug kinahanglan lang isipon nga temporaryo nga lakang. Pananglitan, sa pagkakaron mga pakete lamang nga adunay ESNI extension ID 0xffce (encrypted_server_name), nga gigamit sa , apan sa pagkakaron mga pakete nga adunay kasamtangang identifier 0xff02 (encrypted_client_hello), gisugyot sa .
Ang laing workaround mao ang paggamit sa usa ka non-standard nga proseso sa negosasyon sa koneksyon, pananglitan, ang pag-block dili molihok kung ang usa ka dugang nga pakete sa SYN nga adunay dili husto nga pagkasunod-sunod nga numero gipadala nga abante, mga pagmaniobra nga adunay mga bandila sa fragmentation sa pakete, pagpadala usa ka pakete nga adunay FIN ug SYN flag set, pag-ilis sa usa ka RST packet nga adunay sayop nga kontrol nga kantidad o pagpadala sa dili pa magsugod ang negosasyon sa koneksyon sa packet uban sa SYN ug ACK flags. Ang gihulagway nga mga pamaagi gipatuman na sa porma sa usa ka plugin alang sa toolkit , sa paglaktaw sa mga pamaagi sa pagsensor.
Source: opennet.ru