Кина све ХТТПС везе које користе ТЛС 1.3 протокол и ЕСНИ (Енцриптед Сервер Наме Индицатион) ТЛС екстензију, која обезбеђује шифровање података о траженом хосту. Блокирање се врши на транзитним рутерима како за везе успостављене из Кине са спољним светом, тако и из спољног света у Кину.
Блокирање се врши испуштањем пакета са клијента на сервер, а не заменом РСТ пакета која је претходно извршена СНИ селективним блокирањем садржаја. Након што се активира блокирање пакета помоћу ЕСНИ, сви мрежни пакети који одговарају комбинацији изворне ИП адресе, одредишне ИП адресе и броја одредишног порта такође се блокирају на 120 до 180 секунди. ХТТПС везе засноване на старијим верзијама ТЛС-а и ТЛС 1.3 без ЕСНИ су дозвољене као и обично.
Подсетимо, да би се организовао рад на једној ИП адреси неколико ХТТПС сајтова, развијена је екстензија СНИ, која преноси име хоста у чистом тексту у ЦлиентХелло поруци која се преноси пре инсталирања шифрованог комуникационог канала. Ова функција омогућава на страни Интернет провајдера да селективно филтрира ХТТПС саобраћај и анализира које сајтове корисник отвара, што не дозвољава постизање потпуне поверљивости при коришћењу ХТТПС-а.
Ново ТЛС проширење ЕЦХ (раније ЕСНИ), које се може користити у спрези са ТЛС 1.3, елиминише овај недостатак и потпуно елиминише цурење информација о траженом сајту приликом анализе ХТТПС веза. У комбинацији са приступом преко мреже за испоруку садржаја, коришћење ЕЦХ/ЕСНИ такође омогућава сакривање ИП адресе траженог ресурса од провајдера. Системи за инспекцију саобраћаја ће видети само захтеве ка ЦДН-у и неће моћи да примене блокирање без лажирања ТЛС сесије, у ком случају ће се одговарајуће обавештење о лажирању сертификата приказати у претраживачу корисника. ДНС остаје могући канал за цурење, али клијент може да користи ДНС-овер-ХТТПС или ДНС-овер-ТЛС да сакрије ДНС приступ клијента.
Истраживачи су већ Постоји неколико заобилазних решења за заобилажење кинеског блока на страни клијента и сервера, али они могу постати ирелевантни и треба их сматрати само привременом мером. На пример, тренутно само пакети са ИД-ом ЕСНИ екстензије 0кффце (енцриптед_сервер_наме), који је коришћен у , али за сада пакети са тренутним идентификатором 0кфф02 (енцриптед_цлиент_хелло), предложен у .
Друго решење је коришћење нестандардног процеса преговарања о вези, на пример, блокирање не функционише ако се унапред пошаље додатни СИН пакет са нетачним редоследним бројем, манипулације са ознакама фрагментације пакета, слање пакета са ФИН и СИН постављене заставице, замена РСТ пакета са нетачном контролном количином или слање пре него што започне преговарање о повезивању пакета са СИН и АЦК заставицама. Описани методи су већ имплементирани у облику додатка за комплет алата , да заобиђу методе цензуре.
Извор: опеннет.ру