Hiina kõik HTTPS-ühendused, mis kasutavad TLS 1.3 protokolli ja ESNI (Encrypted Server Name Indication) TLS-laiendust, mis tagab taotletud hosti andmete krüptimise. Blokeerimine toimub transiitmarsruuteritel nii Hiinast välismaailmaga kui ka välismaailmast Hiinaga loodud ühenduste jaoks.
Blokeerimiseks kukutatakse paketid kliendilt serverisse, mitte aga RST-pakettide asendamine, mida varem teostas SNI sisuselektiivne blokeerimine. Pärast ESNI-ga paketi blokeerimise käivitamist blokeeritakse 120–180 sekundiks ka kõik võrgupaketid, mis vastavad lähte-IP, sihtkoha IP ja sihtkoha pordi numbri kombinatsioonile. HTTPS-ühendused, mis põhinevad vanematel TLS-i versioonidel ja TLS 1.3-l ilma ESNI-ta, on tavapäraselt lubatud.
Meenutagem, et mitme HTTPS-saidi ühe IP-aadressi kallal töö korraldamiseks töötati välja SNI laiendus, mis edastab enne krüpteeritud sidekanali paigaldamist edastatavas ClientHello sõnumis lahtise tekstina hostinime. See funktsioon võimaldab Interneti-pakkuja poolel HTTPS-i liiklust valikuliselt filtreerida ja analüüsida, milliseid saite kasutaja avab, mis ei võimalda HTTPS-i kasutamisel täielikku konfidentsiaalsust saavutada.
Uus TLS-laiendus ECH (endine ESNI), mida saab kasutada koos TLS 1.3-ga, kõrvaldab selle puuduse ja välistab HTTPS-ühenduste analüüsimisel täielikult teabe lekke soovitud saidi kohta. Koos juurdepääsuga sisu edastamise võrgu kaudu võimaldab ECH/ESNI kasutamine ka taotletud ressursi IP-aadressi pakkuja eest peita. Liiklusjärelevalvesüsteemid näevad ainult CDN-ile suunatud päringuid ja ei saa rakendada blokeerimist ilma TLS-i seansi võltsimiseta, sel juhul kuvatakse kasutaja brauseris vastav teade sertifikaadi võltsimise kohta. DNS jääb võimalikuks lekkekanaliks, kuid klient saab kasutada DNS-i üle HTTPS-i või DNS-üle-TLS-i, et varjata kliendi DNS-i juurdepääsu.
Teadlased on juba Hiina plokist kliendi ja serveri poolel mööda hiilimiseks on mitu lahendust, kuid need võivad muutuda ebaoluliseks ja neid tuleks käsitleda vaid ajutise meetmena. Näiteks praegu ainult paketid ESNI laienduse ID-ga 0xffce (krüptitud_serveri_nimi), mida kasutati , kuid praegu paketid praeguse identifikaatoriga 0xff02 (encrypted_client_hello), pakutud välja .
Teine lahendus on kasutada mittestandardset ühenduse läbirääkimisprotsessi, näiteks blokeerimine ei toimi, kui eelnevalt saadetakse vale järjenumbriga täiendav SYN-pakett, manipulatsioonid pakettide killustatuse lippudega, paketi saatmine nii FIN kui ka SYN-iga lipud seatud, RST-paketi asendamine vale kontrollsummaga või saatmine enne pakettühenduse läbirääkimiste algust lipukestega SYN ja ACK. Kirjeldatud meetodid on tööriistakomplekti pistikprogrammi kujul juba rakendatud , tsenseerimismeetoditest mööda hiilida.
Allikas: opennet.ru