Китай блокує весь трафік HTTPS за допомогою TLS 1

Оголошення

  • Додому
  • Учасники
  • Правила
  • Кішка
  • Реєстрація
  • Ідентифікація

# 1 10.08.2020 16:47:14

Китай блокує весь трафік HTTPS за допомогою TLS 1.3 та ESNI

Блокування було застосовано наприкінці липня і застосовується завдяки "Великому брандмауеру", пристрою моніторингу мережі, розгорнутому режимом.

весь

В даний час уряд Китаю використовує свій "Великий брандмауер" для блокування певних типів зашифрованих з'єднань HTTPS.
Блок діє вже більше тижня, згідно зі спільним звітом трьох організацій, які відстежують китайську цензуру мережі: iYouPort, Університет штату Меріленд (https://geneva.cs.umd.edu/posts/ china- c… esni/esni /) та великий звіт брандмауера (https://gfw.report/blog/gfw_esni_blocking/en/).

ZDNet також підтвердив висновки цього звіту з двома іншими джерелами, а саме членами американського провайдера телекомунікацій та Інтернет-пункту обміну (IXP), використовуючи інструкції, наведені в списку розсилки.

Жодне з джерел не хотіло, щоб їхні особи та роботодавці були названі через ризик прямого або непрямого помсти проти суб'єктів, що висвітлюють їхню практику інтернет-цензури.

Зараз Китай блокує HTTPS + TLS1.3 + ESNI

Згідно з повідомленням, Великий китайський брандмауер (GFW) тепер блокує з'єднання HTTPS, встановлені за допомогою нового протоколу шифрування TLS 1.3 і які використовують ESNI (індикація імені зашифрованого сервера).

Причина такої блокади очевидна, на думку експертів.

HTTPS-з'єднання, узгоджені через TLS 1.3 та ESNI, заважають стороннім глядачам виявляти веб-сайт, до якого користувач намагається отримати доступ. Це фактично заважає інструменту моніторингу Великого брандмауера Китаю бачити, що роблять користувачі Інтернету в Інтернеті.

Існує міф навколо з'єднань HTTPS про те, що спостерігачі мережі (наприклад, провайдери) не можуть бачити, що роблять користувачі. Ця заява є технічно неправильною.

Незважаючи на те, що з'єднання HTTPS зашифровані і не дозволяють спостерігачам мережі бачити/читати вміст з'єднання HTTPS, існує короткий період до встановлення з'єднань HTTPS, що дозволяє третім сторонам визначати, до якого сервера підключається користувач.

Для цього просто вивчіть поле SNI (Індикація імені сервера) підключення HTTPS.

У з'єднаннях HTTPS, узгоджених через попередні версії протоколу TLS (наприклад, TLS 1.1 та TLS 1.2), поле SNI видно в.
У версії протоколу TLS 1.3, випущеній у 2018 році, поле SNI можна приховати та зашифрувати через ESNI.

Оскільки сьогодні широко застосовується TLS 1.3, використання ESNI також зростає. Все більше і більше з’єднань HTTPS тепер складніше відстежувати за допомогою інструментів онлайн-цензури, таких як чудовий брандмауер.


Зображення: Qualys SSL Labs (через SixGen)

Згідно з повідомленням, китайський уряд намагається заблокувати всі з'єднання HTTPS, де використовуються TLS 1.3 та ESNI, і тимчасово заблокувати IP-адреси, що беруть участь у з'єднанні, на дві-три хвилини.

Існують деякі методи обходу. в дану хвилину

На щастя для виробників додатків та операторів веб-сайтів, які обслуговують китайську громадськість, три організації заявили, що знайшли шість методів обходу, які можна застосувати на стороні клієнта (у програмах та програмному забезпеченні) та чотири, які можна застосувати на стороні сервера (на серверах та серверні програми), щоб обійти поточне блокування, встановлене Великим брандмауером.

"На жаль, ці конкретні стратегії можуть не бути довгостроковим рішенням: у міру розвитку гри" котик-мишка "Великий брандмауер, ймовірно, продовжуватиме вдосконалювати свої цензурні можливості", - пишуть у звіті три організації.