Ĉinio ĉiuj HTTPS-konektoj, kiuj uzas la TLS 1.3-protokolon kaj la TLS-etendon ESNI (Ĉifrita Servila Nomo-Indiko), kiu provizas ĉifradon de datumoj pri la petita gastiganto. Blokado estas efektivigita sur transitenkursigiloj kaj por ligoj establitaj de Ĉinio al la ekstera mondo, kaj de la ekstera mondo al Ĉinio.
Blokado estas farita faligante pakaĵetojn de la kliento ĝis la servilo, prefere ol la RST-pakaĵanstataŭigo kiu antaŭe estis farita per SNI-enhav-selektema blokado. Post kiam blokado de pakaĵeto kun ESNI estas ekigita, ĉiuj retpakoj respondaj al la kombinaĵo de fonto IP, celloka IP kaj celloka havenonumero ankaŭ estas blokitaj dum 120 ĝis 180 sekundoj. HTTPS-konektoj bazitaj sur pli malnovaj versioj de TLS kaj TLS 1.3 sen ESNI estas permesitaj kiel kutime.
Ni rememoru, ke por organizi laboron sur unu IP-adreso de pluraj HTTPS-ejoj, la etendo SNI estis evoluigita, kiu transdonas la gastigan nomon en klara teksto en la mesaĝo ClientHello transdonita antaŭ ol instali ĉifritan komunikadkanalon. Ĉi tiu funkcio ebligas ĉe la interreta provizanto elekte filtri HTTPS-trafikon kaj analizi kiujn retejojn la uzanto malfermas, kio ne ebligas atingi kompletan konfidencon kiam vi uzas HTTPS.
La nova TLS-etendo ECH (antaŭe ESNI), kiu povas esti uzata kune kun TLS 1.3, forigas ĉi tiun mankon kaj tute forigas la elfluon de informoj pri la petita retejo kiam oni analizas HTTPS-konektojn. En kombinaĵo kun aliro per enhavo-livera reto, la uzo de ECH/ESNI ankaŭ ebligas kaŝi la IP-adreson de la petita rimedo de la provizanto. Trafikinspektadsistemoj nur vidos petojn al la CDN kaj ne povos apliki blokadon sen TLS-sesio-falsado, en kiu kazo responda sciigo pri atestil-falsado estos montrita en la retumilo de la uzanto. DNS restas ebla likkanalo, sed la kliento povas uzi DNS-over-HTTPS aŭ DNS-over-TLS por kaŝi DNS-aliron de la kliento.
Esploristoj jam faris Estas pluraj solvoj por preteriri la ĉinan blokon ĉe la kliento kaj servilo, sed ili povas fariĝi sensignivaj kaj devus esti konsiderataj nur kiel provizora mezuro. Ekzemple, nuntempe nur pakaĵetoj kun la ESNI etendo ID 0xffce (encrypted_server_name), kiu estis uzita en , sed nuntempe pakaĵetoj kun la nuna identigilo 0xff02 (encrypted_client_hello), proponitaj en .
Alia solvo estas uzi ne-norman konektan intertraktadprocezon, ekzemple, blokado ne funkcias se kroma SYN-pakaĵeto kun malĝusta sekvencnumero estas sendata anticipe, manipuladoj kun pakaĵetfragmentflagoj, sendante pakaĵeton kun kaj la FIN kaj SYN. flagoj fiksitaj, anstataŭigo de RST-pakaĵeto kun malĝusta kontrolkvanto aŭ sendado antaŭ ol la paka konektointertraktado kun la SYN kaj ACK-flagoj komenciĝas. La priskribitaj metodoj jam estis efektivigitaj en formo de kromaĵo por la ilaro , preteriri cenzurajn metodojn.
fonto: opennet.ru