Tsina lahat ng HTTPS na koneksyon na gumagamit ng TLS 1.3 protocol at ang ESNI (Encrypted Server Name Indication) TLS extension, na nagbibigay ng encryption ng data tungkol sa hiniling na host. Isinasagawa ang pagharang sa mga transit router para sa mga koneksyong naitatag mula sa China patungo sa labas ng mundo, at mula sa labas ng mundo patungo sa China.
Ang pagharang ay ginagawa sa pamamagitan ng pag-drop ng mga packet mula sa client patungo sa server, sa halip na ang RST packet substitution na dati nang ginawa ng SNI content-selective blocking. Matapos ma-trigger ang pag-block sa isang packet na may ESNI, ang lahat ng network packet na tumutugma sa kumbinasyon ng source IP, destination IP at destination port number ay na-block din sa loob ng 120 hanggang 180 segundo. Ang mga koneksyon sa HTTPS batay sa mga mas lumang bersyon ng TLS at TLS 1.3 na walang ESNI ay pinapayagan gaya ng dati.
Alalahanin natin na upang ayusin ang trabaho sa isang IP address ng ilang mga HTTPS site, binuo ang extension ng SNI, na nagpapadala ng pangalan ng host sa malinaw na teksto sa mensahe ng ClientHello na ipinadala bago mag-install ng naka-encrypt na channel ng komunikasyon. Ginagawang posible ng feature na ito sa panig ng Internet provider na piliing i-filter ang trapiko ng HTTPS at suriin kung aling mga site ang bubuksan ng user, na hindi nagpapahintulot sa pagkamit ng kumpletong pagiging kumpidensyal kapag gumagamit ng HTTPS.
Tinatanggal ng bagong extension ng TLS na ECH (dating ESNI), na maaaring gamitin kasabay ng TLS 1.3, ang pagkukulang na ito at ganap na inaalis ang pagtagas ng impormasyon tungkol sa hiniling na site kapag sinusuri ang mga koneksyon sa HTTPS. Sa kumbinasyon ng pag-access sa pamamagitan ng network ng paghahatid ng nilalaman, ginagawang posible rin ng paggamit ng ECH/ESNI na itago ang IP address ng hiniling na mapagkukunan mula sa provider. Ang mga sistema ng inspeksyon ng trapiko ay makakakita lamang ng mga kahilingan sa CDN at hindi makakapaglapat ng pagharang nang walang TLS session spoofing, kung saan ang isang kaukulang notification tungkol sa certificate spoofing ay ipapakita sa browser ng user. Ang DNS ay nananatiling isang posibleng leak na channel, ngunit ang kliyente ay maaaring gumamit ng DNS-over-HTTPS o DNS-over-TLS upang itago ang DNS access ng kliyente.
Ang mga mananaliksik ay mayroon na Mayroong ilang mga workarounds upang i-bypass ang Chinese block sa client at server side, ngunit maaari silang maging hindi nauugnay at dapat lamang ituring bilang isang pansamantalang panukala. Halimbawa, sa kasalukuyan ay mga packet lamang na may ESNI extension ID 0xffce (encrypted_server_name), na ginamit sa , ngunit sa ngayon mga packet na may kasalukuyang identifier 0xff02 (encrypted_client_hello), na iminungkahi sa .
Ang isa pang solusyon ay ang paggamit ng hindi karaniwang proseso ng negosasyon sa koneksyon, halimbawa, hindi gagana ang pagharang kung ang karagdagang SYN packet na may maling sequence number ay ipinadala nang maaga, mga manipulasyon na may mga packet fragmentation flag, pagpapadala ng packet na may parehong FIN at SYN itinakda ang mga flag, pagpapalit ng isang RST packet na may maling halaga ng kontrol o pagpapadala bago magsimula ang negosasyon sa koneksyon ng packet sa mga flag ng SYN at ACK. Naipatupad na ang mga inilarawang pamamaraan sa anyo ng isang plugin para sa toolkit , upang i-bypass ang mga paraan ng pag-censor.
Pinagmulan: opennet.ru