Kiina Kaikki HTTPS-yhteydet, jotka käyttävät TLS 1.3 -protokollaa ja ESNI (Encrypted Server Name Indication) TLS-laajennusta, joka salaa pyydetyn isännän tiedot, estetään kauttakulkureitittimissä sekä Kiinasta ulkomaailmaan että ulkomaailmasta Kiinaan suuntautuvissa yhteyksissä.
Esto suoritetaan pudottamalla paketteja asiakkaalta palvelimelle sen sijaan, että paketit korvattaisiin RST-lipulla, kuten aiemmin tehtiin SNI-sisältöön perustuvan valikoivan estämisen aikana. Kun ESNI:tä sisältävä paketti on estetty, kaikki lähde-IP:tä, kohde-IP:tä ja kohdeporttinumeroa vastaavat verkkopaketit estetään myös 120–180 sekunniksi. Vanhempiin TLS- ja TLS 1.3 -versioihin perustuvat HTTPS-yhteydet ilman ESNI:tä sallitaan normaalisti.
Muistutuksena, SNI-laajennus kehitettiin mahdollistamaan useiden HTTPS-sivustojen toiminta yhdellä IP-osoitteella. Se lähettää isäntänimen selkokielisenä ClientHello-viestissä, joka lähetetään ennen salatun tietoliikennekanavan muodostamista. Tämän ominaisuuden avulla internet-palveluntarjoajat voivat valikoivasti suodattaa HTTPS-liikennettä ja analysoida, millä sivustoilla käyttäjä vierailee, mikä estää täydellisen yksityisyyden HTTPS:ää käytettäessä.
Uusi TLS-laajennus ECH (aiemmin ESNI), jota voidaan käyttää yhdessä TLS 1.3:n kanssa, korjaa tämän puutteen ja poistaa täysin pyydetyn verkkosivuston tietojen vuotamisen HTTPS-yhteyksiä analysoitaessa. Yhdistettynä sisällönjakeluverkon kautta tapahtuvaan käyttöön ECH/ESNI:n käyttö mahdollistaa myös pyydetyn resurssin IP-osoitteen piilottamisen palveluntarjoajalta. Liikenteen tarkastusjärjestelmät näkevät vain CDN:ään tehdyt pyynnöt eivätkä pysty estämään liikennettä väärentämättä TLS-istuntoa, jolloin käyttäjän selaimessa näkyy vastaava ilmoitus varmenteen väärentämisestä. DNS on edelleen mahdollinen vuotokanava, mutta asiakas voi käyttää DNS-over-HTTPS:ää tai DNS-over-TLS:ää DNS-käytön piilottamiseen.
Tutkijat jo Kiinalaisen eston ohittamiseen on useita kiertoteitä sekä asiakas- että palvelinpuolella, mutta ne saattavat vanhentua ja niitä tulisi pitää vain väliaikaisena toimenpiteenä. Esimerkiksi tällä hetkellä vain paketit, joiden ESNI-tunniste on 0xffce (salattu_palvelimen_nimi), jota käytettiin , mutta toistaiseksi paketit, joiden nykyinen tunniste on 0xff02 (encrypted_client_hello), ehdotettu kohdassa .
Toinen kiertotie on käyttää epästandardia yhteyden neuvotteluprosessia. Estoa ei esimerkiksi laukaise ylimääräisen SYN-paketin lähettäminen etukäteen virheellisellä järjestysnumerolla, paketin fragmentointilippujen manipulointi, sekä FIN- että SYN-lippujen asettaman paketin lähettäminen, RST-paketin korvaaminen virheellisellä tarkistussummalla tai sekä SYN- että ACK-lippujen lähettäminen ennen yhteyden neuvottelun aloittamista. Nämä menetelmät on jo toteutettu työkalupakin laajennuksena. , ohittaakseen sensuurimenetelmät.
Lähde: opennet.ru
