Cina semua koneksi HTTPS yang menggunakan protokol TLS 1.3 dan ekstensi TLS ESNI (Indikasi Nama Server Terenkripsi), yang menyediakan enkripsi data tentang host yang diminta. Pemblokiran dilakukan pada router transit baik untuk koneksi yang dibangun dari Tiongkok ke dunia luar, maupun dari dunia luar ke Tiongkok.
Pemblokiran dilakukan dengan menjatuhkan paket dari klien ke server, bukan substitusi paket RST yang sebelumnya dilakukan dengan pemblokiran selektif konten SNI. Setelah pemblokiran paket dengan ESNI dipicu, semua paket jaringan yang sesuai dengan kombinasi IP sumber, IP tujuan, dan nomor port tujuan juga diblokir selama 120 hingga 180 detik. Koneksi HTTPS berdasarkan versi TLS dan TLS 1.3 yang lebih lama tanpa ESNI diizinkan seperti biasa.
Ingatlah bahwa untuk mengatur pekerjaan pada satu alamat IP dari beberapa situs HTTPS, ekstensi SNI dikembangkan, yang mentransmisikan nama host dalam teks yang jelas dalam pesan ClientHello yang dikirimkan sebelum memasang saluran komunikasi terenkripsi. Fitur ini memungkinkan pihak penyedia Internet untuk memfilter lalu lintas HTTPS secara selektif dan menganalisis situs mana yang dibuka pengguna, yang tidak memungkinkan tercapainya kerahasiaan penuh saat menggunakan HTTPS.
Ekstensi TLS baru ECH (sebelumnya ESNI), yang dapat digunakan bersama dengan TLS 1.3, menghilangkan kekurangan ini dan sepenuhnya menghilangkan kebocoran informasi tentang situs yang diminta saat menganalisis koneksi HTTPS. Dikombinasikan dengan akses melalui jaringan pengiriman konten, penggunaan ECH/ESNI juga memungkinkan untuk menyembunyikan alamat IP sumber daya yang diminta dari penyedia. Sistem inspeksi lalu lintas hanya akan melihat permintaan ke CDN dan tidak akan dapat menerapkan pemblokiran tanpa spoofing sesi TLS, dalam hal ini pemberitahuan terkait tentang spoofing sertifikat akan ditampilkan di browser pengguna. DNS tetap menjadi saluran kebocoran yang mungkin terjadi, namun klien dapat menggunakan DNS-over-HTTPS atau DNS-over-TLS untuk menyembunyikan akses DNS oleh klien.
Para peneliti sudah melakukannya Ada beberapa solusi untuk melewati blok China di sisi klien dan server, namun solusi tersebut mungkin menjadi tidak relevan dan hanya boleh dianggap sebagai tindakan sementara. Misalnya, saat ini hanya paket dengan ID ekstensi ESNI 0xffce (encrypted_server_name), yang digunakan di , tetapi untuk saat ini paket dengan pengidentifikasi saat ini 0xff02 (encrypted_client_hello), diusulkan di .
Solusi lain adalah dengan menggunakan proses negosiasi koneksi non-standar, misalnya pemblokiran tidak berfungsi jika paket SYN tambahan dengan nomor urut yang salah dikirim terlebih dahulu, manipulasi dengan flag fragmentasi paket, mengirim paket dengan FIN dan SYN set flag, substitusi paket RST dengan jumlah kontrol yang salah atau pengiriman sebelum negosiasi koneksi paket dengan flag SYN dan ACK dimulai. Metode yang dijelaskan telah diimplementasikan dalam bentuk plugin untuk toolkit , untuk melewati metode penyensoran.
Sumber: opennet.ru