China alle HTTPS-Verbindungen, die das TLS 1.3-Protokoll und die TLS-Erweiterung ESNI (Encrypted Server Name Indication) verwenden, die eine Verschlüsselung der Daten über den angeforderten Host ermöglicht. Die Sperrung erfolgt auf Transit-Routern sowohl für Verbindungen, die von China in die Außenwelt hergestellt werden, als auch für Verbindungen von der Außenwelt nach China.
Die Blockierung erfolgt durch das Verwerfen von Paketen vom Client zum Server und nicht durch die RST-Paketersetzung, die zuvor durch inhaltsselektives SNI-Blockieren durchgeführt wurde. Nachdem die Blockierung eines Pakets mit ESNI ausgelöst wurde, werden alle Netzwerkpakete, die der Kombination aus Quell-IP, Ziel-IP und Ziel-Portnummer entsprechen, ebenfalls für 120 bis 180 Sekunden blockiert. HTTPS-Verbindungen, die auf älteren Versionen von TLS und TLS 1.3 ohne ESNI basieren, werden wie gewohnt durchgelassen.
Erinnern wir uns daran, dass zur Organisation der Arbeit an einer IP-Adresse mehrerer HTTPS-Sites die SNI-Erweiterung entwickelt wurde, die den Hostnamen im Klartext in der ClientHello-Nachricht überträgt, die vor der Installation eines verschlüsselten Kommunikationskanals übertragen wird. Diese Funktion ermöglicht es dem Internetprovider, den HTTPS-Verkehr selektiv zu filtern und zu analysieren, welche Seiten der Benutzer öffnet, was bei der Verwendung von HTTPS keine vollständige Vertraulichkeit ermöglicht.
Die neue TLS-Erweiterung ECH (ehemals ESNI), die in Verbindung mit TLS 1.3 verwendet werden kann, beseitigt dieses Manko und eliminiert den Verlust von Informationen über die angeforderte Site bei der Analyse von HTTPS-Verbindungen vollständig. In Kombination mit dem Zugriff über ein Content-Delivery-Netzwerk ermöglicht der Einsatz von ECH/ESNI auch, die IP-Adresse der angeforderten Ressource vor dem Anbieter zu verbergen. Verkehrskontrollsysteme sehen nur Anfragen an das CDN und können keine Blockierung ohne TLS-Sitzungsspoofing anwenden. In diesem Fall wird im Browser des Benutzers eine entsprechende Benachrichtigung über Zertifikatsspoofing angezeigt. DNS bleibt ein möglicher Leckkanal, aber der Client kann DNS-über-HTTPS oder DNS-über-TLS verwenden, um den DNS-Zugriff durch den Client zu verbergen.
Forscher sind es bereits Es gibt mehrere Problemumgehungen, um die chinesische Blockierung auf der Client- und Serverseite zu umgehen, diese können jedoch irrelevant werden und sollten nur als vorübergehende Maßnahme in Betracht gezogen werden. Zum Beispiel derzeit nur Pakete mit der ESNI-Erweiterungs-ID 0xffce (encrypted_server_name), die in verwendet wurde , aber vorerst Pakete mit der aktuellen Kennung 0xff02 (encrypted_client_hello), vorgeschlagen in .
Eine weitere Problemumgehung besteht darin, einen nicht standardmäßigen Verbindungsaushandlungsprozess zu verwenden. Beispielsweise funktioniert das Blockieren nicht, wenn im Voraus ein zusätzliches SYN-Paket mit einer falschen Sequenznummer gesendet wird, Manipulationen mit Paketfragmentierungsflags, Senden eines Pakets sowohl mit FIN als auch mit SYN gesetzte Flags, Ersetzung eines RST-Pakets durch eine falsche Kontrollmenge oder Senden vor Beginn der Paketverbindungsaushandlung mit den SYN- und ACK-Flags. Die beschriebenen Methoden wurden bereits in Form eines Plugins für das Toolkit implementiert , Zensurmethoden zu umgehen.
Source: opennet.ru