Великий китайський фаєрвол (GFW) відтепер блокує HTTPS-з'єднання, які використовують протокол TLS 1.3 і розширення ESNI (Encrypted Server Name Indication). Вони не дають переглянути назви доменів, до яких хочуть під'єднатись користувачі (ось тут можна почитати про їхній принцип роботи).
Блокування відбуваються на транзитних маршрутизаторах та діють для з'єднань в обидва боки: і з Китаю, і в Китай. Це триває щонайменше з кінця липня, як повідомляють джерела iYouPort, censorship.aiта Great Firewall Report.
GFW блокує з'єднання через ESNI, відкидаючи пакети від клієнта до сервера. Водночас фаєрвол пропускає HTTPS-трафік, який не шифрується через TLS 1.3 й ESNI, а використовує, наприклад, старіші версії: TLS 1.1, 1.2 чи SNI.
Коли GFW блокує з'єднання, він ще й тимчасово банить залучені IP — протягом 120 або 180 секунд.
Дослідники вже знайшли кілька способів обійти фаєрвол: шість з них виконуються з боку клієнта, а чотири можна застосувати на сервері. Та ймовірно, що Great Firewall теж не стоятиме на місці та буде удосконалювати свої можливості цензури.
Ще немає коментарів