China TLS 1.3 protokoloa eta ESNI (Encrypted Server Name Indication) TLS luzapena erabiltzen duten HTTPS konexio guztiak, eskatutako ostalariari buruzko datuak enkriptatzea eskaintzen duena. Blokeoa garraio-bideratzaileetan egiten da, bai Txinatik kanpo mundurako, bai kanpotik Txinarako konexioetarako.
Blokeatzea bezerotik zerbitzarira paketeak jareginez egiten da, aurretik SNI edukien hautazko blokeoarekin egiten zen RST paketeen ordezkapena baino. ESNI-rekin pakete bat blokeatu ondoren, iturburu-IP, helmuga-IP eta helmugako ataka-zenbakiaren konbinazioari dagozkion sare-pakete guztiak ere blokeatzen dira 120 eta 180 segundoz. ESNIrik gabeko TLS eta TLS 1.3 bertsio zaharretan oinarritutako HTTPS konexioak ohiko moduan onartzen dira.
Gogora dezagun HTTPS gune batzuen IP helbide batean lana antolatzeko, SNI luzapena garatu zela, ostalariaren izena testu garbian transmititzen duela ClientHello mezuan enkriptatutako komunikazio kanal bat ezarri aurretik. Ezaugarri honek Internet hornitzailearen aldetik HTTPS trafikoa selektiboki iragaztea eta erabiltzaileak zein gune irekitzen dituen aztertzea ahalbidetzen du, eta horrek ez du baimentzen HTTPS erabiltzean konfidentzialtasun osoa lortzea.
TLS 1.3rekin batera erabil daitekeen ECH (lehen ESNI) luzapen berriak gabezia hori ezabatzen du eta HTTPS konexioak aztertzean eskatutako guneari buruzko informazio-isurketa erabat ezabatzen du. Edukiak bidaltzeko sare baten bidezko sarbidearekin batera, ECH/ESNI erabiltzeak eskatutako baliabidearen IP helbidea hornitzaileari ezkutatzea ere ahalbidetzen du. Trafikoa ikuskatzeko sistemek CDNri egindako eskaerak soilik ikusiko dituzte eta ezin izango dute blokeorik aplikatu TLS saioen spoofing gabe, eta kasu horretan, ziurtagiriaren spoofing-aren inguruko jakinarazpena agertuko da erabiltzailearen arakatzailean. DNS-k ihes-kanal posible bat izaten jarraitzen du, baina bezeroak DNS-over-HTTPS edo DNS-over-TLS erabil dezake bezeroaren DNS sarbidea ezkutatzeko.
Ikertzaileek dagoeneko egin dute Bezeroaren eta zerbitzariaren aldean txinatar blokea saihesteko hainbat konponbide daude, baina baliteke garrantzirik ez izatea eta aldi baterako neurri gisa soilik hartu behar dira kontuan. Adibidez, gaur egun ESNI luzapen ID 0xffce ID (encrypted_server_name) duten paketeak soilik erabiltzen ziren. , baina oraingoz 0xff02 identifikatzailea duten paketeak (encrypted_client_hello), urtean proposatuta. .
Beste konponbide bat konexio estandarra ez den negoziazio prozesu bat erabiltzea da, adibidez, blokeoak ez du funtzionatzen aldez aurretik sekuentzia-zenbaki okerra duen SYN pakete gehigarri bat bidaltzen bada, paketeen zatiketa-markekin manipulazioak, pakete bat bidaltzea FIN eta SYN-ekin. banderak ezarrita, RST pakete bat kontrol-kopuru oker batekin ordezkatzea edo pakete-konexioaren negoziazioa SYN eta ACK banderarekin hasi aurretik bidaltzea. Deskribatutako metodoak tresna-kitrako plugin moduan inplementatu dira dagoeneko , zentsura metodoak saihesteko.
Iturria: opennet.ru