动象论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 92 | 回复: 0

中国现在封锁所有使用TLS 1.3和ESNI的加密HTTPS流量

[复制链接]

73

主题

197

帖子

338

积分

初来乍练

Rank: 2

积分
338

最佳新人灌水之王

发表于 2020-8-9 11:03:28 | 显示全部楼层 |阅读模式
中国政府对其国家审查工具,即所谓的 "长城"(GFW)进行了更新,以阻止使用现代防拦截协议和技术建立的加密HTTPS连接。

根据三个追踪中国审查制度的机构——iYouPort马里兰大学长城防火墙报告——本周发布的联合报告,该禁令至少已经实施了一周,从7月底开始。

中国现在封杀HTTPS+TLS1.3+ESNI

通过新的GFW更新,中国官方只针对使用TLS 1.3ESNI(加密服务器名称指示)等新技术建立的HTTPS流量。

其他HTTPS流量如果使用相同协议的旧版本——如TLS 1.1或1.2,或SNI(服务器名称指示),则仍允许通过长城防火墙。

对于通过这些旧协议建立的HTTPS连接,中国的审查员可以推断出用户试图连接到哪个域。这是在HTTPS连接的早期阶段通过查看(纯文本)SNI字段来实现的。

在通过较新的TLS 1.3建立的HTTPS连接中,SNI字段可以通过ESNI隐藏,ESNI是旧版SNI的加密版本。随着TLS 1.3在网络上的应用不断增加,使用TLS 1.3和ESNI的HTTPS流量现在让中国的传感器感到头疼,因为他们现在发现很难过滤HTTPS流量,也很难控制中国民众可以访问哪些内容。



根据联合报告的调查结果,中国政府目前正在丢弃所有使用TLS 1.3和ESNI的HTTPS流量,并暂时禁止涉及连接的IP地址,时间间隔较小,可能在两到三分钟之间。

暂时存在一些规避方法......

目前,iYouPort、马里兰大学和Great Firewall报告表示,他们能够找到六种可以应用于客户端(应用程序和软件内部)的规避技术,以及四种可以应用于服务器端(在服务器和应用程序后端)的规避技术,以绕过GFW目前的封锁。

"不幸的是,这些具体的策略可能不是一个长期的解决方案:随着猫鼠游戏的进展,长城防火墙很可能会继续提高其审查能力。"这三家机构还补充道。

ZDNet还利用该邮件列表中提供的说明,向另外两个消息来源——即美国一家电信供应商和一家互联网交换点(IXP)的成员——证实了该报告的结论。
动象论坛欢迎您!文明发帖,理性交流!(๑`・ᴗ・´๑)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

 QQ 手机版小黑屋网站地图

GMT+8, 2021-7-25 08:57 Processed in 0.172520 second(s), 21 queries .

CopyRight © 2020-2021 DongXiang BBS. All Rights Reserved.

ICP备案号:粤ICP备17035028号-1

Sectigo签章 MySSL签章

快速回复 返回顶部 返回列表