Kitajsko vse povezave HTTPS, ki uporabljajo protokol TLS 1.3 in razširitev TLS ESNI (Encrypted Server Name Indication), ki omogoča šifriranje podatkov o zahtevanem gostitelju. Blokiranje se izvaja na tranzitnih usmerjevalnikih tako za povezave, vzpostavljene iz Kitajske v zunanji svet, kot tudi iz zunanjega sveta v Kitajsko.
Blokiranje se izvede tako, da se paketi spustijo od odjemalca do strežnika, namesto z zamenjavo paketov RST, ki je bila prej izvedena z vsebinsko selektivnim blokiranjem SNI. Ko se sproži blokiranje paketa z ESNI, so za 120 do 180 sekund blokirani tudi vsi omrežni paketi, ki ustrezajo kombinaciji izvornega IP-ja, ciljnega IP-ja in številke ciljnih vrat. Povezave HTTPS, ki temeljijo na starejših različicah TLS in TLS 1.3 brez ESNI, so dovoljene kot običajno.
Spomnimo se, da je bila za organizacijo dela na enem naslovu IP več spletnih mest HTTPS razvita razširitev SNI, ki posreduje ime gostitelja v čistem besedilu v sporočilu ClientHello, poslanem pred namestitvijo šifriranega komunikacijskega kanala. Ta funkcija omogoča na strani internetnega ponudnika, da selektivno filtrira promet HTTPS in analizira, katera spletna mesta uporabnik odpre, kar ne omogoča doseganja popolne zaupnosti pri uporabi HTTPS.
Nova razširitev TLS ECH (prej ESNI), ki jo je mogoče uporabljati v povezavi s TLS 1.3, odpravlja to pomanjkljivost in popolnoma odpravlja uhajanje informacij o zahtevanem mestu pri analizi povezav HTTPS. V kombinaciji z dostopom prek omrežja za dostavo vsebin uporaba ECH/ESNI omogoča tudi skrivanje naslova IP zahtevanega vira pred ponudnikom. Sistemi za inšpekcijo prometa bodo videli samo zahteve CDN in ne bodo mogli uporabiti blokade brez ponaredka seje TLS, v tem primeru bo v brskalniku uporabnika prikazano ustrezno obvestilo o ponarejanju potrdila. DNS ostaja možen kanal za uhajanje, vendar lahko odjemalec uporabi DNS-over-HTTPS ali DNS-over-TLS, da odjemalec skrije dostop DNS.
Raziskovalci so že Obstaja več rešitev za obhod kitajskega bloka na strani odjemalca in strežnika, vendar lahko postanejo nepomembne in jih je treba obravnavati le kot začasen ukrep. Na primer, trenutno samo paketi z ID-jem končnice ESNI 0xffce (encrypted_server_name), ki je bil uporabljen v , vendar za zdaj paketi s trenutnim identifikatorjem 0xff02 (encrypted_client_hello), predlagani v .
Druga rešitev je uporaba nestandardnega postopka pogajanja o povezavi, na primer blokiranje ne deluje, če je vnaprej poslan dodatni paket SYN z nepravilno zaporedno številko, manipulacije z zastavicami za fragmentacijo paketa, pošiljanje paketa s FIN in SYN nastavljene zastavice, zamenjava paketa RST z nepravilno kontrolno količino ali pošiljanje, preden se začne pogajanje o paketni povezavi z zastavicama SYN in ACK. Opisane metode so bile že implementirane v obliki vtičnika za komplet orodij , zaobiti metode cenzure.
Vir: opennet.ru