Ķīna visi HTTPS savienojumi, kas izmanto protokolu TLS 1.3 un ESNI (šifrētā servera nosaukuma indikācijas) TLS paplašinājumu, kas nodrošina datu šifrēšanu par pieprasīto resursdatoru. Tranzīta maršrutētāju bloķēšana tiek veikta gan savienojumiem, kas izveidoti no Ķīnas uz ārpasauli, gan no ārpasaules uz Ķīnu.
Bloķēšana tiek veikta, nometot paketes no klienta uz serveri, nevis RST pakešu aizstāšanu, kas iepriekš tika veikta ar SNI satura selektīvo bloķēšanu. Pēc paketes bloķēšanas ar ESNI iedarbināšanas uz 120 līdz 180 sekundēm tiek bloķētas arī visas tīkla paketes, kas atbilst avota IP, mērķa IP un mērķa porta numura kombinācijai. HTTPS savienojumi, kuru pamatā ir vecākas TLS versijas un TLS 1.3 bez ESNI, ir atļauti kā parasti.
Atgādināsim, ka, lai organizētu darbu pie vienas vairāku HTTPS vietņu IP adreses, tika izstrādāts SNI paplašinājums, kas pirms šifrēta sakaru kanāla instalēšanas nosūtītajā ClientHello ziņojumā skaidrā tekstā pārraida resursdatora nosaukumu. Šī funkcija sniedz iespēju interneta pakalpojumu sniedzējam selektīvi filtrēt HTTPS trafiku un analizēt, kuras vietnes lietotājs atver, kas neļauj sasniegt pilnīgu konfidencialitāti, izmantojot HTTPS.
Jaunais TLS paplašinājums ECH (agrāk ESNI), ko var izmantot kopā ar TLS 1.3, novērš šo trūkumu un pilnībā novērš informācijas noplūdi par pieprasīto vietni, analizējot HTTPS savienojumus. Apvienojumā ar piekļuvi, izmantojot satura piegādes tīklu, ECH/ESNI izmantošana ļauj arī paslēpt pieprasītā resursa IP adresi no nodrošinātāja. Satiksmes pārbaudes sistēmas redzēs tikai pieprasījumus CDN un nevarēs piemērot bloķēšanu bez TLS sesijas viltošanas, un tādā gadījumā lietotāja pārlūkprogrammā tiks parādīts atbilstošs paziņojums par sertifikātu viltošanu. DNS joprojām ir iespējamais noplūdes kanāls, taču klients var izmantot DNS-over-HTTPS vai DNS-over-TLS, lai paslēptu klienta piekļuvi DNS.
Pētnieki jau ir Ir vairāki risinājumi, kā apiet Ķīnas bloku klienta un servera pusē, taču tie var kļūt nenozīmīgi un uzskatāmi tikai par pagaidu pasākumu. Piemēram, pašlaik tikai paketes ar ESNI paplašinājuma ID 0xffce (šifrētais_servera_nosaukums), kas tika izmantots , bet pagaidām paketes ar pašreizējo identifikatoru 0xff02 (encrypted_client_hello), ierosinātas .
Vēl viens risinājums ir izmantot nestandarta savienojuma sarunu procesu, piemēram, bloķēšana nedarbojas, ja iepriekš tiek nosūtīta papildu SYN pakete ar nepareizu kārtas numuru, manipulācijas ar pakešu fragmentācijas karodziņiem, paketes nosūtīšana gan ar FIN, gan SYN. karodziņi ir iestatīti, RST paketes aizstāšana ar nepareizu kontroles summu vai nosūtīšana, pirms sākas pakešu savienojuma sarunas ar SYN un ACK karodziņiem. Aprakstītās metodes jau ir ieviestas rīku komplekta spraudņa veidā , apiet cenzūras metodes.
Avots: opennet.ru