סין כל חיבורי HTTPS המשתמשים בפרוטוקול TLS 1.3 ובסיומת TLS ESNI (Encrypted Server Name Indication), אשר מצפינה נתונים אודות המארח המבוקש, חסומים בנתבי מעבר, הן עבור חיבורים מסין לעולם החיצון והן מהעולם החיצון לסין.
חסימה מתבצעת על ידי שחרור מנות מהלקוח לשרת, במקום על ידי החלפת מנות בדגל RST, שבוצע בעבר במהלך חסימה סלקטיבית המבוססת על תוכן SNI. לאחר חסימה של חבילה עם ESNI, כל מנות הרשת התואמות את כתובת ה-IP של המקור, כתובת ה-IP של היעד ומספר פורט היעד נחסמות גם הן למשך 120 עד 180 שניות. חיבורי HTTPS המבוססים על גרסאות ישנות יותר של TLS ו-TLS 1.3 ללא ESNI מותרים כרגיל.
כתזכורת, התוסף SNI פותח כדי לאפשר לאתרי HTTPS מרובים לפעול על כתובת IP אחת. הוא משדר את שם המארח בטקסט רגיל בהודעת ClientHello, הנשלחת לפני יצירת ערוץ תקשורת מוצפן. תכונה זו מאפשרת לספקי שירותי אינטרנט לסנן באופן סלקטיבי תעבורת HTTPS ולנתח באילו אתרים משתמש מבקר, דבר המונע פרטיות מוחלטת בעת שימוש ב-HTTPS.
הרחבת ה-TLS החדשה ECH (לשעבר ESNI), שניתן להשתמש בה בשילוב עם TLS 1.3, מטפלת בחסרון זה ומבטלת לחלוטין את דליפת המידע אודות האתר המבוקש בעת ניתוח חיבורי HTTPS. בשילוב עם גישה דרך רשת אספקת תוכן, השימוש ב-ECH/ESNI מאפשר גם להסתיר את כתובת ה-IP של המשאב המבוקש מהספק. מערכות בדיקת תעבורה יראו רק בקשות ל-CDN ולא יוכלו לחסום תעבורה מבלי לזייף את סשן ה-TLS, ובמקרה כזה תוצג הודעה מתאימה על זיוף האישור בדפדפן של המשתמש. DNS נותר ערוץ דליפה אפשרי, אך הלקוח יכול להשתמש ב-DNS-over-HTTPS או DNS-over-TLS כדי להסתיר גישת DNS.
חוקרים כבר ישנן מספר פתרונות לעקיפת חסימה סינית הן בצד הלקוח והן בצד השרת, אך הן עשויות להפוך למיושנות ויש להתייחס אליהן כאל אמצעי זמני בלבד. לדוגמה, נכון לעכשיו, רק חבילות עם מזהה הסיומת ESNI 0xffce (encrypted_server_name), אשר שימש ב... , אבל לעת עתה חבילות עם המזהה הנוכחי 0xff02 (encrypted_client_hello), שהוצעו ב .
פתרון נוסף הוא שימוש בתהליך משא ומתן חיבור לא סטנדרטי. לדוגמה, חסימה אינה מופעלת על ידי שליחה מוקדמת של חבילת SYN נוספת עם מספר רצף לא חוקי, מניפולציה של דגלי פיצול חבילות, שליחת חבילה עם דגלי FIN ו-SYN מוגדרים, החלפת חבילת RST בסכום בדיקה שגוי, או שליחת חבילה עם דגלי SYN ו-ACK לפני תחילת משא ומתן החיבור. שיטות אלו כבר יושמו כתוסף ערכת כלים. , כדי לעקוף את שיטות הצנזורה.
מקור: OpenNet.ru
