Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI

Китaй внeдрил блoкирoвку HTTPS-сoeдинeний, в кoтoрыx испoльзуeтся прoтoкoл TLS 1.3 и TLS-рaсширeниe ESNI (Encrypted Server Name Indication), oбeспeчивaющee шифрoвaниe дaнныx o зaпрaшивaeмoм xoстe. Блoкирoвкa oсущeствляeтся нa трaнзитныx маршрутизаторах (то) есть для соединений, устанавливаемых из Китая нет слов внешний мир, так и из внешнего решетка в Китай. Для блокировки выполняется отвержение пакетов от клиента к серверу, а невыгодный подстановка пакетов с флагом RST, которая доселе выполнялась при выборочной блокировке соответственно содержимому SNI. После срабатывания блокировки пакета с ESNI в устремленность от 120 до 180 секунд и блокируются все сетевые пакеты, соответствующие связке с исходного IP, целевого IP и номера порта назначения. Напомним, почему для организации работы на одном IP-адресе нескольких HTTPS-сайтов было разработано дилатация SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом впредь до установки шифрованного канала связи. Подобная характерность даёт возможность на стороне сеть-провайдера выборочно фильтровать HTTPS-движение и анализировать какие сайты открывает юзер, что не позволяет добиться полной конфиденциальности около применении HTTPS. Новое TLS-расширение ECN (раньше ESNI), которое может применяться гурьбой с TLS 1.3, устраняет этот недостаток и вдребезги исключает утечку сведений о запрашиваемом сайте около анализе HTTPS-соединений. Системы инспектирования трафика будут любоваться только обращения к CDN и не смогут приложить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя хорош показано соответствующее уведомление о подмене сертификата. Возможным каналом потери. Ant. доход остаётся DNS, но для скрытия обращения к DNS клиентом может приспособляться DNS-over-HTTPS или DNS-over-TLS. Исследователи еще выявили несколько обходных путей в (видах обхода китайской блокировки на стороне клиента и сервера, однако они могут потерять актуальность и их необходимо рассматривать лишь как временную меру. Примерно сказать, в настоящее время блокируются только пакеты с идентификатором расширения ESNI 0xffce (encrypted_server_name), кто использовался в пятой версии черновика стандарта, так пока пропускаются пакеты с актуальными идентификаторами 0xff02 (encrypted_client_hello), 0xff03 (ech_nonce) и 0xff04 (outer_extension), предложенными в седьмом черновике спецификации ECN. Другим вариантом обхода является утилизация нестандартного процесса согласования соединения, вот хоть, блокировка не срабатывает при предварительной отправке дополнительного SYN-пакета с неверным номером последовательности, манипуляциями с флагами фрагментирования пакетов, отправке пакета с сразу выставленными флагами FIN и SYN, подстановке RST-пакета с некорректной контрольной суммой сиречь отправке до начала согласования соединения пакета с флагами SYN и ACK. Описанные методы еще реализованы в форме плагина к инструментарию Geneva, развиваемого на обхода методов цензурирования. Источник: http://www.opennet.ru/opennews/art.shtml?num=53520