交流评论、关注点赞

  • Facebook Icon脸书专页
  • telegram Icon翻墙交流电报群
  • telegram Icon电报频道
  • RSS订阅禁闻RSS/FEED订阅

微博上看到的,你的详细上网记录营业厅就能看到

2021年06月09日 10:51 PDF版 分享转发

Image

Image

Ad:美好不容错过,和家人朋友一起享受愉快时光,现在就订票

1. 这里的域名具体代指的是SNI(Server Name Indication),TLS 1.3引入了E(Encrypted)SNI。 由于目前ESNI没有普及,GFW会直接Drop掉用ESNI的TLS流量。 https://solidot.org/story?sid=65185 2. HTTP协议是明文传输的,这正是HTTPS要解决的问题。 要是担心供应链攻击,可以自建梯子。

https://www.solidot.org/story?sid=65185

被发现开始屏蔽
ESNI(加密服务器名称指示)。TLS1.3 引入了 ESNI(尚未成为正式规格),用加密的 SNI
阻止中间人查看客户端要访问的特定网站。因为不知道用户使用 ESNI 访问的网站,审查者要么不封锁任何 ESNI 连接,要么封锁所有的 ESNI
连接。防火墙选择了后者。测试发现,防火墙通过丢弃从客户端到服务器的数据包来阻止 ESNI 连接。此外,ESNI 封锁不仅会发生在 443
端口,也会发生在 1 到 65535 的所有端口。在阻断 ESNI 握手后,防火墙会继续阻断与(源IP,目标IP,目标端口) 3
元组相关的任何连接一段时间。

https://blog.twnic.tw/2020/09/03/14886/

中国政府已经更新了名为「防火长城」(Great Firewall,GFW)的网路审查工具,以阻止加密的HTTPS连线,根据、马里兰大学及Great Firewall Report这三个追踪审查制度的单位在今(2020)年8月初联合发布的报告,此项禁令已经实施一周。

中国目前封锁了使用TLS 1.3及ESNI等新技术建立的HTTPS连接,因为这使得中国当局对其人民的网路监控更形困难。若人民使用旧版的连线协议,审查人员便能透过伺服器名称指示(Server Name Indication,SNI)推断出用户尝试连接的网域名称。

该报告中指出,研究团队已经找到6种在使用者端内建应用程式与软体,以及4种在伺服器与应用程式后端可以运用的规避技术,藉以绕过GFW的封锁。然而,目前的策略并非长久之计,所谓「道高一尺,魔高一丈」,GFW终究会提高其审查能力。

GFW是中国的强制立法行动,与资安技术结合,在中国境内达到审查网路言论的效果,并同时阻止人民浏览某些外国网站,除此之外,GFW还透过培育国内企业,降低国外的网路服务业者在国内的发展,形成类似保护主义的效果。

原文连结:https://www.zdnet.com/article/china-is-now-blocking-all-encrypted-https-traffic-using-tls-1-3-and-esni/

喜欢、支持,请转发分享↓Follow Us 责任编辑:林远翔