porselen Alle HTTPS-tilkoblinger som bruker TLS 1.3-protokollen og ESNI (Encrypted Server Name Indication) TLS-utvidelsen, som krypterer data om den forespurte verten, er blokkert pÄ transittrutere, bÄde for tilkoblinger fra Kina til omverdenen og fra omverdenen til Kina.
Blokkering utfÞres ved Ä slippe pakker fra klienten til serveren, i stedet for Ä erstatte pakker med RST-flagget, som tidligere ble utfÞrt under selektiv blokkering basert pÄ SNI-innhold. Etter at en pakke med ESNI er blokkert, blokkeres ogsÄ alle nettverkspakker som samsvarer med kilde-IP-adressen, destinasjons-IP-adressen og destinasjonsportnummeret i 120 til 180 sekunder. HTTPS-tilkoblinger basert pÄ eldre versjoner av TLS og TLS 1.3 uten ESNI er tillatt som vanlig.
Som en pÄminnelse ble SNI-utvidelsen utviklet for Ä gjÞre det mulig for flere HTTPS-nettsteder Ä operere pÄ én enkelt IP-adresse. Den overfÞrer vertsnavnet i klartekst i ClientHello-meldingen, som sendes fÞr en kryptert kommunikasjonskanal opprettes. Denne funksjonen lar internettleverandÞrer selektivt filtrere HTTPS-trafikk og analysere hvilke nettsteder en bruker besÞker, noe som forhindrer fullstendig personvern nÄr man bruker HTTPS.
Den nye TLS-utvidelsen ECH (tidligere ESNI), som kan brukes sammen med TLS 1.3, adresserer denne mangelen og eliminerer fullstendig lekkasje av informasjon om det forespurte nettstedet nÄr man analyserer HTTPS-tilkoblinger. NÄr det kombineres med tilgang gjennom et innholdsleveringsnettverk, gjÞr bruken av ECH/ESNI det ogsÄ mulig Ä skjule IP-adressen til den forespurte ressursen fra leverandÞren. Trafikkkontrollsystemer vil bare se forespÞrsler til CDN og vil ikke kunne blokkere trafikk uten Ä forfalske TLS-Þkten. I sÄ fall vil et tilsvarende varsel om sertifikatforfalskningen vises i brukerens nettleser. DNS er fortsatt en mulig lekkasjekanal, men DNS-over-HTTPS eller DNS-over-TLS kan brukes av klienten til Ä skjule DNS-tilgang.
Forskere allerede Det finnes flere lÞsninger for Ä omgÄ kinesisk blokkering pÄ bÄde klient- og serversiden, men de kan bli foreldet og bÞr bare betraktes som et midlertidig tiltak. For eksempel er det for Þyeblikket bare pakker med ESNI-utvidelsesidentifikatoren 0xffce (kryptert_servernavn), som ble brukt i , men forelÞpig pakker med gjeldende identifikator 0xff02 (encrypted_client_hello), foreslÄtt i .
En annen lÞsning er Ä bruke en ikke-standardisert tilkoblingsforhandlingsprosess. For eksempel utlÞses ikke blokkering ved Ä forhÄndssende en ekstra SYN-pakke med et ugyldig sekvensnummer, manipulere pakkefragmenteringsflagg, sende en pakke med bÄde FIN- og SYN-flaggene angitt, erstatte en RST-pakke med feil sjekksum, eller sende en pakke med bÄde SYN- og ACK-flaggene fÞr tilkoblingsforhandlingene starter. Disse metodene er allerede implementert som en verktÞysett-plugin. , Ä omgÄ sensurmetoder.
Kilde: opennet.ru
