Китайское правительство развернуло обновление для своего национального инструмента цензуры, известного как Великий брандмауэр (GFW), чтобы блокировать зашифрованные HTTPS-соединения, которые устанавливаются с использованием современных, защищенных от перехвата протоколов и технологий.
] Запрет действует как минимум неделю, с конца июля, согласно совместному отчету, опубликованному на этой неделе тремя организациями, отслеживающими цензуру в Китае — iYouPort, Университетом Мэриленда и Отчетом о Великом брандмауэре.
Китай теперь блокирует HTTPS + TLS1.3 + ESNI
В новом обновлении GFW китайские официальные лица нацелены только на HTTPS-трафик, который настраивается с помощью новых технологий, таких как TLS 1.3 и ESNI (зашифрованное имя сервера Индикация).
Другой HTTPS-трафик все еще разрешен через Великий брандмауэр, если он использует более старые версии тех же протоколов, например TLS 1.1 или 1.2, или SNI (указание имени сервера).
Для подключения HTTPS настроен v Среди этих старых протоколов китайские цензоры могут сделать вывод, к какому домену пытается подключиться пользователь. Это делается путем просмотра поля SNI (открытого текста) на ранних этапах HTTPS-соединений.
В HTTPS-соединениях, настроенных через новый TLS 1.3, поле SNI может быть скрыто через ESNI, зашифрованную версию старого SNI. Поскольку использование TLS 1.3 в Интернете продолжает расти, трафик HTTPS, в котором используются TLS 1.3 и ESNI, теперь доставляет головную боль китайским датчикам, поскольку им становится все труднее фильтровать трафик HTTPS и контролировать, к какому контенту может получить доступ китайское население.
Изображение: Qualys SSL Labs (через SixGen)
Согласно выводам совместного отчета, правительство Китая в настоящее время отбрасывает весь HTTPS-трафик, в котором используются TLS 1.3 и ESNI, и временно запрещает IP-адреса, участвующие в соединении, для небольших интервалы времени, которые могут варьироваться от двух до трех минут.
Некоторые методы обхода существуют … пока
На данный момент iYouPort, Университет Мэриленда и отчет Great Firewall Report заявили, что смогли найти шесть методов обхода, которые можно применить на стороне клиента (внутри приложений и программного обеспечения), и четыре, которые можно применить на сервере. -сайд (на серверах и в приложениях), чтобы обойти текущую блокировку GFW.
«К сожалению, эти конкретные стратегии не могут быть долгосрочным решением: по мере развития игры в кошки-мышки Великий брандмауэр, вероятно, будет чтобы продолжать улучшать свои возможности цензуры », — добавили также три организации.
ZDNet также подтвердил выводы отчета двумя дополнительными источниками, а именно членами американского поставщика телекоммуникационных услуг и точкой обмена интернет-трафиком (IXP) — используя инструкции, представленные в этом списке рассылки.
Статья обновлена, чтобы уточнить некоторые технические термины.
