China nā pilina HTTPS a pau e hoʻohana ana i ka protocol TLS 1.3 a me ka ESNI (Encrypted Server Name Indication) TLS extension, e hāʻawi ana i ka hoʻopili ʻana o ka ʻikepili e pili ana i ka host i noi ʻia. Hoʻokō ʻia ka pale ʻana ma nā mea hoʻokele transit no nā pilina i hoʻokumu ʻia mai Kina a i waho o ka honua, a mai ka honua waho a i Kina.
Hana ʻia ka pale ʻana ma ka hoʻokuʻu ʻana i nā ʻeke mai ka mea kūʻai aku i ke kikowaena, ma mua o ka hoʻololi ʻana i ka pāpaʻi RST i hana mua ʻia e ka SNI content-selective blocking. Ma hope o ka hoʻopaʻa ʻana i kahi ʻeke me ESNI, ua paʻa pū ʻia nā ʻeke pūnaewele āpau e pili ana i ka hui pū ʻana o IP kumu, IP wahi e hele ai a me ka helu awa e hele ai no 120 a 180 kekona. Ua ʻae ʻia nā pilina HTTPS e pili ana i nā mana kahiko o TLS a me TLS 1.3 me ka ʻole o ESNI e like me ka mea maʻamau.
E hoʻomanaʻo mākou i mea e hoʻonohonoho ai i ka hana ma hoʻokahi IP address o kekahi mau pūnaewele HTTPS, ua hoʻomohala ʻia ka hoʻonui SNI, ka mea e hoʻouna i ka inoa host ma kahi kikokikona ma ka leka ClientHello i hoʻouna ʻia ma mua o ka hoʻokomo ʻana i kahi kaila kamaʻilio i hoʻopili ʻia. ʻO kēia hiʻohiʻona e hiki ai i ka ʻaoʻao o ka mea hoʻolako pūnaewele ke kānana pono i ka hele ʻana o HTTPS a me ka nānā ʻana i nā pūnaewele e wehe ai ka mea hoʻohana, ʻaʻole e ʻae i ka loaʻa ʻana o ka hūnā piha i ka wā e hoʻohana ai i ka HTTPS.
ʻO ka hou TLS extension ECH (ESNI mua), hiki ke hoʻohana pū me TLS 1.3, hoʻopau i kēia hemahema a hoʻopau loa i ka leakage o ka ʻike e pili ana i ka pūnaewele i noi ʻia i ka wā e nānā ana i nā pilina HTTPS. Ma ka hui pū ʻana me ka loaʻa ʻana ma o kahi pūnaewele hāʻawi ʻike, hiki i ka hoʻohana ʻana iā ECH/ESNI ke hiki ke hūnā i ka IP address o ka waiwai i noi ʻia mai ka mea hāʻawi. E ʻike wale nā ʻōnaehana nānā kaʻa i nā noi i ka CDN a ʻaʻole hiki ke hoʻohana i ka pale ʻana me ka ʻole o ka hoʻopunipuni ʻana o ka wā TLS, a laila e hōʻike ʻia kahi leka hoʻomaopopo e pili ana i ka spoofing palapala hōʻoia ma ka polokalamu kele o ka mea hoʻohana. Noho mau ʻo DNS i kahi ala leak hiki, akā hiki i ka mea kūʻai ke hoʻohana i ka DNS-over-HTTPS a i ʻole DNS-over-TLS e hūnā i ka ʻike DNS e ka mea kūʻai.
Ua loaʻa i nā mea noiʻi Nui nā ʻano hana e kāʻalo ai i ka poloka Kina ma ka ʻaoʻao o ka mea kūʻai aku a me ka ʻaoʻao kikowaena, akā hiki ke lilo i mea ʻole a pono e noʻonoʻo ʻia ma ke ʻano he manawa pōkole. No ka laʻana, i kēia manawa nā ʻeke wale nō me ka ESNI extension ID 0xffce (encrypted_server_name), i hoʻohana ʻia ma , akā i kēia manawa nā ʻeke me ka mea hōʻike i kēia manawa 0xff02 (encrypted_client_hello), i manaʻo ʻia ma .
ʻO kekahi hana ʻē aʻe, ʻo ia ka hoʻohana ʻana i kahi kaʻina kūkākūkā pili ʻole maʻamau, no ka laʻana, ʻaʻole e hana ke kāohi inā hoʻouna mua ʻia kahi ʻeke SYN hou me kahi helu kaʻina hewa ʻole, nā manipulations me nā hae ʻāpana packet, hoʻouna i kahi ʻeke me ka FIN a me SYN. hoʻonohonoho ʻia nā hae, hoʻololi i kahi ʻeke RST me kahi helu mana hewa a i ʻole ka hoʻouna ʻana ma mua o ka hoʻomaka ʻana o ke kūkākūkā pili ʻana me nā hae SYN a me ACK. Ua hoʻokō ʻia nā ʻano i wehewehe ʻia ma ke ʻano o kahi plugin no ka hāmeʻa , e kāʻalo i nā ʻano censoring.
Source: opennet.ru