1. 这里的域名具体代指的是SNI(Server Name Indication),TLS 1.3引入了E(Encrypted)SNI。 由于目前ESNI没有普及,GFW会直接Drop掉用ESNI的TLS流量。 https://solidot.org/story?sid=65185 2. HTTP协议是明文传输的,这正是HTTPS要解决的问题。 要是担心供应链攻击,可以自建梯子。
https://www.solidot.org/story?sid=65185
防火墙被发现开始屏蔽 ESNI(加密服务器名称指示)。TLS1.3 引入了 ESNI(尚未成为正式规格),用加密的 SNI 阻止中间人查看客户端要访问的特定网站。因为不知道用户使用 ESNI 访问的网站,审查者要么不封锁任何 ESNI 连接,要么封锁所有的 ESNI 连接。防火墙选择了后者。测试发现,防火墙通过丢弃从客户端到服务器的数据包来阻止 ESNI 连接。此外,ESNI 封锁不仅会发生在 443 端口,也会发生在 1 到 65535 的所有端口。在阻断 ESNI 握手后,防火墙会继续阻断与(源IP,目标IP,目标端口) 3 元组相关的任何连接一段时间。
https://blog.twnic.tw/2020/09/03/14886/
中國政府已經更新了名為「防火長城」(Great Firewall,GFW)的網路審查工具,以阻止加密的HTTPS連線,根據iYouPort、馬里蘭大學及Great Firewall Report這三個追蹤中國審查制度的單位在今(2020)年8月初聯合發布的報告,此項禁令已經實施一周。
中國目前封鎖了使用TLS 1.3及ESNI等新技術建立的HTTPS連接,因為這使得中國當局對其人民的網路監控更形困難。若人民使用舊版的連線協議,審查人員便能透過伺服器名稱指示(Server Name Indication,SNI)推斷出用戶嘗試連接的網域名稱。
該報告中指出,研究團隊已經找到6種在使用者端內建應用程式與軟體,以及4種在伺服器與應用程式後端可以運用的規避技術,藉以繞過GFW的封鎖。然而,目前的策略並非長久之計,所謂「道高一尺,魔高一丈」,GFW終究會提高其審查能力。
GFW是中國的強制立法行動,與資安技術結合,在中國境內達到審查網路言論的效果,並同時阻止人民瀏覽某些外國網站,除此之外,GFW還透過培育國內企業,降低國外的網路服務業者在國內的發展,形成類似保護主義的效果。
没有评论:
发表评论