Китайское правительство занялось существенным обновление всей системы фильтрации интернета в стране. Теперь "Великий китайский файрвол" умеет блокировать зашифрованные HTTPS-соединения, которые создаются с использованием современных, защищенных от перехвата протоколов и технологий.
Как пишет издание ZDnet, новые функции успешно работают с конца июля и позволяют блокировать HTTPS-трафик, который настраивается с помощью новых технологий, таких как TLS 1.3 и ESNI (Encrypted Server Name Indication). При этом, другой HTTPS-трафик по-прежнему не попадает под фильтрацию, если использует старые версии этих же протоколов.
Для HTTPS-соединений, настроенных с помощью этих старых протоколов, китайские цензоры могут определить, к какому домену пользователь пытается подключиться. Это делается путем просмотра поля SNI (plaintext) на ранних стадиях HTTPS-соединения.
В HTTPS-соединениях, настроенных с помощью нового TLS 1.3, поле SNI может быть скрыто с помощью ESNI, зашифрованной версии старого SNI. Поскольку использование TLS 1.3 продолжает расти во всем интернете, HTTPS-трафик, где используются TLS 1.3 и ESNI, теперь вызывает головную боль у китайских датчиков, поскольку им теперь труднее фильтровать HTTPS-трафик и контролировать, к какому контенту может получить доступ китайское население.
Китайское правительство в настоящее время сбрасывает весь HTTPS-трафик, где используются TLS 1.3 и ESNI, и временно запрещает IP-адреса, участвующие в соединении, на небольшие промежутки времени, которые могут варьироваться от двух до трех минут.