Kinija visi HTTPS ryšiai, kuriuose naudojamas TLS 1.3 protokolas ir ESNI (šifruoto serverio pavadinimo indikacijos) TLS plėtinys, užtikrinantis duomenų apie prašomą pagrindinį kompiuterį šifravimą. Tranzitinių maršrutizatorių blokavimas atliekamas tiek ryšiams, užmegztiems iš Kinijos į išorinį pasaulį, tiek iš išorinio pasaulio į Kiniją.
Blokavimas atliekamas nuleidžiant paketus iš kliento į serverį, o ne pakeičiant RST paketus, kuris anksčiau buvo atliktas naudojant SNI turinio atrankinį blokavimą. Suaktyvinus paketo blokavimą naudojant ESNI, visi tinklo paketai, atitinkantys šaltinio IP, paskirties IP ir paskirties prievado numerio derinį, taip pat blokuojami 120–180 sekundžių. HTTPS ryšiai, pagrįsti senesnėmis TLS ir TLS 1.3 versijomis be ESNI, leidžiami kaip įprasta.
Prisiminkime, kad norint organizuoti darbą su vienu kelių HTTPS svetainių IP adresu, buvo sukurtas SNI plėtinys, kuris prieš sukuriant šifruotą ryšio kanalą perduodamame ClientHello pranešime aiškiu tekstu perduoda pagrindinio kompiuterio pavadinimą. Ši funkcija suteikia galimybę interneto tiekėjui pasirinktinai filtruoti HTTPS srautą ir analizuoti, kurias svetaines vartotojas atidaro, o tai neleidžia pasiekti visiško konfidencialumo naudojant HTTPS.
Naujasis TLS plėtinys ECH (anksčiau ESNI), kurį galima naudoti kartu su TLS 1.3, pašalina šį trūkumą ir visiškai pašalina informacijos apie prašomą svetainę nutekėjimą analizuojant HTTPS ryšius. Kartu su prieiga per turinio pristatymo tinklą, ECH/ESNI naudojimas taip pat leidžia paslėpti prašomo šaltinio IP adresą nuo teikėjo. Eismo tikrinimo sistemos matys tik CDN užklausas ir negalės taikyti blokavimo be TLS seanso klastojimo, tokiu atveju vartotojo naršyklėje bus rodomas atitinkamas pranešimas apie sertifikato klastojimą. DNS išlieka galimu nutekėjimo kanalu, tačiau klientas gali naudoti DNS-over-HTTPS arba DNS-over-TLS, kad paslėptų kliento DNS prieigą.
Tyrėjai jau Yra keletas būdų, kaip apeiti Kinijos bloką kliento ir serverio pusėje, tačiau jie gali tapti nereikšmingi ir turėtų būti laikomi tik laikina priemone. Pavyzdžiui, šiuo metu tik paketai su ESNI plėtinio ID 0xffce (šifruotas_serverio_pavadinimas), kuris buvo naudojamas , bet kol kas paketai su dabartiniu identifikatoriumi 0xff02 (encrypted_client_hello), siūlomi .
Kitas sprendimas – naudoti nestandartinį ryšio derybų procesą, pavyzdžiui, blokavimas neveikia, jei iš anksto siunčiamas papildomas SYN paketas su neteisingu eilės numeriu, manipuliacijos su paketų fragmentavimo vėliavėlėmis, paketo siuntimas ir su FIN, ir su SYN. vėliavėlių nustatymas, RST paketo pakeitimas neteisingu kontrolės kiekiu arba siuntimas prieš prasidedant paketo ryšio deryboms su SYN ir ACK vėliavėlėmis. Aprašyti metodai jau buvo įdiegti įrankių rinkinio papildinio pavidalu , apeiti cenzūros metodus.
Šaltinis: opennet.ru