La Cina sta bloccando tutto il traffico HTTPS crittografato che utilizza TLS 1.3 ed ESNI
10 Agosto 2020 - Tempo di lettura: 7 minuti
Il governo cinese ha implementato un aggiornamento al suo strumento di censura nazionale, noto come Great Firewall (GFW), per bloccare le connessioni HTTPS crittografate che vengono impostate utilizzando protocolli e tecnologie moderni ea prova di intercettazione.
Il divieto è in vigore da almeno una settimana, dalla fine di luglio, secondo un rapporto congiunto pubblicato questa settimana da tre organizzazioni che monitorano la censura cinese: iYouPort , l' Università del Maryland e il Great Firewall Report .
LA CINA ORA BLOCCA HTTPS + TLS1.3 + ESNI
Attraverso il nuovo aggiornamento GFW, i funzionari cinesi prendono di mira solo il traffico HTTPS che viene impostato con nuove tecnologie come TLS 1.3 e ESNI (Encrypted Server Name Indication) .
Altro traffico HTTPS è ancora consentito attraverso il Great Firewall, se utilizza versioni precedenti degli stessi protocolli, come TLS 1.1 o 1.2 o SNI (Server Name Indication).
Per le connessioni HTTPS impostate tramite questi vecchi protocolli, i censori cinesi possono dedurre a quale dominio un utente sta tentando di connettersi. Questo viene fatto esaminando il campo SNI (in chiaro) nelle prime fasi di una connessione HTTPS.
Nelle connessioni HTTPS impostate tramite il più recente TLS 1.3, il campo SNI può essere nascosto tramite ESNI, la versione crittografata del vecchio SNI. Poiché l'utilizzo di TLS 1.3 continua a crescere nel Web, il traffico HTTPS in cui vengono utilizzati TLS 1.3 ed ESNI sta ora dando ai sensori cinesi mal di testa, poiché ora trovano più difficile filtrare il traffico HTTPS e controllare a quali contenuti la popolazione cinese può accedere.
Secondo i risultati del rapporto congiunto, il governo cinese sta attualmente abbandonando tutto il traffico HTTPS in cui vengono utilizzati TLS 1.3 ed ESNI e vietando temporaneamente gli indirizzi IP coinvolti nella connessione, per piccoli intervalli di tempo che possono variare tra due e tre minuti.
ESISTONO ALCUNI METODI DI ELUSIONE ... PER ORA
Per ora, iYouPort, l'Università del Maryland e il Great Firewall Report hanno affermato di essere stati in grado di trovare sei tecniche di elusione che possono essere applicate lato client (all'interno di app e software) e quattro che possono essere applicate lato server (su server e backend dell'app) per bypassare il blocco corrente di GFW.
"Sfortunatamente, queste strategie specifiche potrebbero non essere una soluzione a lungo termine: con l'avanzare del gioco del gatto e del topo, è probabile che il Great Firewall continui a migliorare le sue capacità di censura", hanno aggiunto anche le tre organizzazioni.
