Kiina kaikki HTTPS-yhteydet, jotka käyttävät TLS 1.3 -protokollaa ja ESNI (Encrypted Server Name Indication) TLS-laajennusta, joka tarjoaa salauksen pyydettyä isäntää koskevat tiedot. Esto suoritetaan kauttakulkureitittimillä sekä Kiinasta ulkomaailmaan muodostetuille yhteyksille että ulkomaailmasta Kiinaan.
Estäminen tehdään pudottamalla paketteja asiakkaalta palvelimelle sen sijaan, että SNI-sisältöselektiivinen esto aiemmin suoritettiin RST-pakettien korvaamisesta. Kun paketin estäminen ESNI:llä on laukaissut, kaikki verkkopaketit, jotka vastaavat lähde-IP:n, kohde-IP:n ja kohdeportin numeron yhdistelmää, estetään myös 120-180 sekunniksi. HTTPS-yhteydet, jotka perustuvat vanhempiin TLS- ja TLS 1.3 -versioihin ilman ESNI:tä, sallitaan tavalliseen tapaan.
Muistakaamme, että usean HTTPS-sivuston yhden IP-osoitteen työn järjestämiseksi kehitettiin SNI-laajennus, joka välittää isäntänimen selkeänä tekstinä ennen salatun viestintäkanavan asentamista lähetetyssä ClientHello-viestissä. Tämä ominaisuus mahdollistaa Internet-palveluntarjoajan puolella HTTPS-liikenteen valikoivan suodattamisen ja analysoinnin, mitkä sivustot käyttäjä avaa, mikä ei salli täydellistä luottamuksellisuutta HTTPS:ää käytettäessä.
Uusi TLS-laajennus ECH (entinen ESNI), jota voidaan käyttää yhdessä TLS 1.3:n kanssa, poistaa tämän puutteen ja eliminoi täysin tiedon vuotamisen pyydetystä sivustosta HTTPS-yhteyksiä analysoitaessa. Yhdessä sisällönjakeluverkon kautta tapahtuvan käytön kanssa ECH/ESNI:n käyttö mahdollistaa myös pyydetyn resurssin IP-osoitteen piilottamisen palveluntarjoajalta. Liikenteentarkastusjärjestelmät näkevät vain pyynnöt CDN:lle, eivätkä ne voi soveltaa estoa ilman TLS-istunnon huijausta, jolloin käyttäjän selaimessa näytetään vastaava ilmoitus varmennehuijauksesta. DNS säilyy mahdollisena vuotokanavana, mutta asiakas voi käyttää DNS-over-HTTPS:tä tai DNS-over-TLS:ää piilottaakseen asiakkaan DNS-käytön.
Tutkijat ovat jo On olemassa useita kiertotapoja kiinalaisen eston ohittamiseksi asiakas- ja palvelinpuolella, mutta niistä voi tulla merkityksettömiä, ja niitä tulisi pitää vain väliaikaisena toimenpiteenä. Esimerkiksi tällä hetkellä vain paketit, joiden ESNI-laajennustunnus on 0xffce (salattu_palvelimen_nimi), jota käytettiin , mutta toistaiseksi paketit, joilla on nykyinen tunniste 0xff02 (encrypted_client_hello), ehdotettu .
Toinen kiertotapa on käyttää epätyypillistä yhteysneuvotteluprosessia, esim. esto ei toimi, jos ylimääräinen SYN-paketti lähetetään etukäteen väärällä järjestysnumerolla, manipulaatiot pakettien fragmentointilipuilla, paketin lähettäminen sekä FIN:llä että SYN:llä liput asetettu, RST-paketin korvaaminen väärällä ohjausmäärällä tai lähetys ennen kuin pakettiyhteysneuvottelu SYN- ja ACK-lippujen kanssa alkaa. Kuvatut menetelmät on jo toteutettu työkalupakin liitännäisenä , ohittaakseen sensurointimenetelmät.
Lähde: opennet.ru