Trung Quốc tất cả các kết nối HTTPS sử dụng giao thức TLS 1.3 và tiện ích mở rộng TLS ESNI (Chỉ định tên máy chủ được mã hóa), cung cấp mã hóa dữ liệu về máy chủ được yêu cầu. Việc chặn được thực hiện trên các bộ định tuyến chuyển tuyến cho cả các kết nối được thiết lập từ Trung Quốc với thế giới bên ngoài và từ thế giới bên ngoài đến Trung Quốc.
Việc chặn được thực hiện bằng cách thả các gói từ máy khách xuống máy chủ, thay vì thay thế gói RST như trước đây được thực hiện bằng tính năng chặn chọn lọc nội dung SNI. Sau khi kích hoạt chặn một gói bằng ESNI, tất cả các gói mạng tương ứng với sự kết hợp giữa IP nguồn, IP đích và số cổng đích cũng bị chặn trong 120 đến 180 giây. Các kết nối HTTPS dựa trên các phiên bản TLS và TLS 1.3 cũ hơn không có ESNI vẫn được phép thông qua như bình thường.
Chúng ta hãy nhớ lại rằng để tổ chức công việc trên một địa chỉ IP của một số trang HTTPS, tiện ích mở rộng SNI đã được phát triển, tiện ích này truyền tên máy chủ ở dạng văn bản rõ ràng trong thông báo ClientHello được truyền trước khi thiết lập kênh liên lạc được mã hóa. Tính năng này giúp nhà cung cấp dịch vụ Internet có thể lọc có chọn lọc lưu lượng HTTPS và phân tích những trang web nào người dùng mở, điều này không cho phép đạt được tính bảo mật hoàn toàn khi sử dụng HTTPS.
Tiện ích mở rộng TLS mới ECH (trước đây là ESNI), có thể được sử dụng cùng với TLS 1.3, loại bỏ thiếu sót này và loại bỏ hoàn toàn việc rò rỉ thông tin về trang web được yêu cầu khi phân tích các kết nối HTTPS. Kết hợp với quyền truy cập thông qua mạng phân phối nội dung, việc sử dụng ECH/ESNI cũng giúp ẩn địa chỉ IP của tài nguyên được yêu cầu khỏi nhà cung cấp. Hệ thống kiểm tra lưu lượng sẽ chỉ nhìn thấy các yêu cầu tới CDN và sẽ không thể áp dụng tính năng chặn nếu không giả mạo phiên TLS, trong trường hợp đó, thông báo tương ứng về việc giả mạo chứng chỉ sẽ được hiển thị trong trình duyệt của người dùng. DNS vẫn có thể là kênh rò rỉ nhưng máy khách có thể sử dụng DNS-over-HTTPS hoặc DNS-over-TLS để ẩn quyền truy cập DNS của máy khách.
Các nhà nghiên cứu đã Có một số cách giải quyết để vượt qua khối tiếng Trung ở phía máy khách và máy chủ, nhưng chúng có thể không còn phù hợp và chỉ nên được coi là biện pháp tạm thời. Ví dụ: hiện tại chỉ các gói có ID tiện ích mở rộng ESNI 0xffce (encrypted_server_name), được sử dụng trong , nhưng hiện tại các gói có mã định danh hiện tại là 0xff02 (encrypted_client_hello), được đề xuất trong .
Một cách giải quyết khác là sử dụng quy trình đàm phán kết nối không chuẩn, ví dụ: việc chặn không hoạt động nếu gói SYN bổ sung có số thứ tự không chính xác được gửi trước, thao tác với cờ phân mảnh gói, gửi gói có cả FIN và SYN cờ được đặt, thay thế gói RST bằng số lượng kiểm soát không chính xác hoặc gửi trước khi quá trình đàm phán kết nối gói bằng cờ SYN và ACK bắt đầu. Các phương pháp được mô tả đã được triển khai dưới dạng plugin cho bộ công cụ , để vượt qua các phương pháp kiểm duyệt.
Nguồn: opennet.ru