porcelæn alle HTTPS-forbindelser, der bruger TLS 1.3-protokollen og ESNI (Encrypted Server Name Indication) TLS-udvidelsen, som giver kryptering af data om den anmodede vært. Blokering udføres på transit-routere både for forbindelser etableret fra Kina til omverdenen og fra omverdenen til Kina.
Blokering udføres ved at droppe pakker fra klienten til serveren i stedet for den RST-pakkesubstitution, der tidligere blev udført af SNI-indholdsselektiv blokering. Efter at blokering af en pakke med ESNI er udløst, blokeres alle netværkspakker svarende til kombinationen af kilde-IP, destinations-IP og destinationsportnummer også i 120 til 180 sekunder. HTTPS-forbindelser baseret på ældre versioner af TLS og TLS 1.3 uden ESNI er tilladt som sædvanligt.
Lad os huske på, at for at organisere arbejdet på en IP-adresse på flere HTTPS-websteder, blev SNI-udvidelsen udviklet, som transmitterer værtsnavnet i klartekst i ClientHello-meddelelsen, der sendes før installation af en krypteret kommunikationskanal. Denne funktion gør det muligt på internetudbyderens side selektivt at filtrere HTTPS-trafik og analysere, hvilke sider brugeren åbner, hvilket ikke tillader opnåelse af fuldstændig fortrolighed ved brug af HTTPS.
Den nye TLS-udvidelse ECH (tidligere ESNI), som kan bruges sammen med TLS 1.3, eliminerer denne mangel og eliminerer fuldstændig lækage af information om det anmodede websted, når HTTPS-forbindelser analyseres. I kombination med adgang gennem et indholdsleveringsnetværk gør brugen af ECH/ESNI det også muligt at skjule IP-adressen på den ønskede ressource for udbyderen. Trafikinspektionssystemer vil kun se anmodninger til CDN og vil ikke være i stand til at anvende blokering uden TLS session spoofing, i hvilket tilfælde en tilsvarende meddelelse om certifikat spoofing vil blive vist i brugerens browser. DNS forbliver en mulig lækagekanal, men klienten kan bruge DNS-over-HTTPS eller DNS-over-TLS til at skjule DNS-adgang for klienten.
Det har forskere allerede Der er flere løsninger til at omgå den kinesiske blokering på klient- og serversiden, men de kan blive irrelevante og bør kun betragtes som en midlertidig foranstaltning. For eksempel er der i øjeblikket kun pakker med ESNI-udvidelses-id'et 0xffce (encrypted_server_name), som blev brugt i , men indtil videre pakker med den aktuelle identifikator 0xff02 (encrypted_client_hello), foreslået i .
En anden løsning er at bruge en ikke-standard forbindelsesforhandlingsproces, for eksempel virker blokering ikke, hvis en ekstra SYN-pakke med et forkert sekvensnummer sendes på forhånd, manipulationer med pakkefragmenteringsflag, afsendelse af en pakke med både FIN og SYN flag sat, substitution af en RST-pakke med en forkert kontrolmængde eller afsendelse før pakkeforbindelsesforhandlingen med SYN- og ACK-flag begynder. De beskrevne metoder er allerede implementeret i form af et plugin til værktøjskassen , at omgå censureringsmetoder.
Kilde: opennet.ru