China alle HTTPS-verbindingen die gebruik maken van het TLS 1.3-protocol en de ESNI (Encrypted Server Name Indication) TLS-extensie, die zorgt voor versleuteling van gegevens over de aangevraagde host. Het blokkeren wordt uitgevoerd op transitrouters, zowel voor verbindingen vanuit China naar de buitenwereld als voor verbindingen van de buitenwereld naar China.
Blokkeren gebeurt door pakketten van de client naar de server te droppen, in plaats van de RST-pakketvervanging die voorheen werd uitgevoerd door SNI-inhoudselectieve blokkering. Nadat het blokkeren van een pakket met ESNI is geactiveerd, worden alle netwerkpakketten die overeenkomen met de combinatie van bron-IP, bestemmings-IP en bestemmingspoortnummer ook gedurende 120 tot 180 seconden geblokkeerd. HTTPS-verbindingen op basis van oudere versies van TLS en TLS 1.3 zonder ESNI worden zoals gebruikelijk doorgelaten.
Laten we niet vergeten dat om het werk op één IP-adres van verschillende HTTPS-sites te organiseren, de SNI-extensie is ontwikkeld, die de hostnaam in duidelijke tekst verzendt in het verzonden ClientHello-bericht voordat een gecodeerd communicatiekanaal tot stand wordt gebracht. Deze functie maakt het aan de kant van de internetprovider mogelijk om selectief HTTPS-verkeer te filteren en te analyseren welke sites de gebruiker opent, waardoor volledige vertrouwelijkheid bij het gebruik van HTTPS niet kan worden bereikt.
De nieuwe TLS-extensie ECH (voorheen ESNI), die kan worden gebruikt in combinatie met TLS 1.3, elimineert deze tekortkoming en elimineert volledig het lekken van informatie over de opgevraagde site bij het analyseren van HTTPS-verbindingen. In combinatie met toegang via een content delivery network maakt het gebruik van ECH/ESNI het ook mogelijk om het IP-adres van de opgevraagde bron voor de provider te verbergen. Verkeersinspectiesystemen zien alleen verzoeken aan het CDN en kunnen geen blokkering toepassen zonder TLS-sessie-spoofing. In dat geval wordt een overeenkomstige melding over certificaat-spoofing weergegeven in de browser van de gebruiker. DNS blijft een mogelijk lekkanaal, maar de client kan DNS-over-HTTPS of DNS-over-TLS gebruiken om DNS-toegang voor de client te verbergen.
Onderzoekers hebben dat al gedaan Er zijn verschillende oplossingen om de Chinese blokkade aan de client- en serverzijde te omzeilen, maar deze kunnen irrelevant worden en moeten alleen als een tijdelijke maatregel worden beschouwd. Momenteel zijn er bijvoorbeeld alleen pakketten met de ESNI-extensie-ID 0xffce (gecodeerde_servernaam), die werd gebruikt in , maar voorlopig pakketten met de huidige identificatie 0xff02 (encrypted_client_hello), voorgesteld in .
Een andere oplossing is het gebruik van een niet-standaard verbindingsonderhandelingsproces. Blokkeren werkt bijvoorbeeld niet als vooraf een extra SYN-pakket met een onjuist volgnummer wordt verzonden, manipulaties met pakketfragmentatievlaggen, het verzenden van een pakket met zowel de FIN als de SYN vlaggen ingesteld, vervanging van een RST-pakket met een onjuist controlebedrag of verzending voordat de pakketverbindingsonderhandeling met de SYN- en ACK-vlaggen begint. De beschreven methoden zijn al geïmplementeerd in de vorm van een plug-in voor de toolkit , censuurmethoden te omzeilen.
Bron: opennet.ru