中国现在封锁所有使用TLS 1.3和ESNI的加密HTTPS流量
中国政府对其国家审查工具,即所谓的 "长城"(GFW)进行了更新,以阻止使用现代防拦截协议和技术建立的加密HTTPS连接。根据三个追踪中国审查制度的机构——iYouPort、马里兰大学和长城防火墙报告——本周发布的联合报告,该禁令至少已经实施了一周,从7月底开始。
中国现在封杀HTTPS+TLS1.3+ESNI
通过新的GFW更新,中国官方只针对使用TLS 1.3和ESNI(加密服务器名称指示)等新技术建立的HTTPS流量。
其他HTTPS流量如果使用相同协议的旧版本——如TLS 1.1或1.2,或SNI(服务器名称指示),则仍允许通过长城防火墙。
对于通过这些旧协议建立的HTTPS连接,中国的审查员可以推断出用户试图连接到哪个域。这是在HTTPS连接的早期阶段通过查看(纯文本)SNI字段来实现的。
在通过较新的TLS 1.3建立的HTTPS连接中,SNI字段可以通过ESNI隐藏,ESNI是旧版SNI的加密版本。随着TLS 1.3在网络上的应用不断增加,使用TLS 1.3和ESNI的HTTPS流量现在让中国的传感器感到头疼,因为他们现在发现很难过滤HTTPS流量,也很难控制中国民众可以访问哪些内容。
https://external-30160.picsz.qpic.cn/4d102249cd9ff62e1e0fb5978b4bce33
根据联合报告的调查结果,中国政府目前正在丢弃所有使用TLS 1.3和ESNI的HTTPS流量,并暂时禁止涉及连接的IP地址,时间间隔较小,可能在两到三分钟之间。
暂时存在一些规避方法......
目前,iYouPort、马里兰大学和Great Firewall报告表示,他们能够找到六种可以应用于客户端(应用程序和软件内部)的规避技术,以及四种可以应用于服务器端(在服务器和应用程序后端)的规避技术,以绕过GFW目前的封锁。
"不幸的是,这些具体的策略可能不是一个长期的解决方案:随着猫鼠游戏的进展,长城防火墙很可能会继续提高其审查能力。"这三家机构还补充道。
ZDNet还利用该邮件列表中提供的说明,向另外两个消息来源——即美国一家电信供应商和一家互联网交换点(IXP)的成员——证实了该报告的结论。
页:
[1]