精华好帖回顾
· 【30楼玫瑰图片更新】DIY mini rose greenhouse 迷你玫瑰温室 (2017-7-25) Bluemount	· dd (2014-7-3) pasonhu
· 开个帖子，说说作为HR或者Recruiter是怎么在筛选简历的 (2018-10-27) 清咖一杯	· Australia Day (2005-1-26) 闲过信陵饮

查看: 3306|回复: 9

中国现在已经屏蔽所有同时采用了TLS1.3和ESNI的https加密流量 [复制链接]

发表于 2020-8-10 15:32 |显示全部楼层

此文章由 symeteor 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 symeteor 所有！转贴必须注明作者、出处和本声明，并保持内容完整

中国现在已经屏蔽所有同时采用了TLS1.3和ESNI的https加密流量

中国政府已经向其全国性的审查工具，著名的GFW部署了新的升级，从而可以屏蔽所有使用了最新的协议和加密技术的https连接。

三个不同的追踪中国审查制度的组织（iYouPort,、马里兰大学、GFW报告）报告说该屏蔽已经从7月底开始，已经生效了至少一周。
这次GFW升级针对的是同时启用了TLS 1.3和ESNI的流量.

老的https协议，比如TLS 1.1，1.2或者SNI依然可以通过GFW。

在老的https协议中（即上文的1.1，1.2）， GFW可以查看到用户需要访问的域名，即通过检查SNI字段来实现。

在新的TLS 1.3中，SNI可以通过ESNI隐藏。随着TLS 1.3的普及，使用了TLS1.3的https流量让中国政府很头疼，因为过滤内容变得更为困难。

根据最新联合报告的内容，中国政府的GFW现在默认丢弃所有同时启用了TLS1.3和ESNI的数据包，然后会临时屏蔽涉嫌建立连接的所有IP一段时间，大约2-3分钟。

现在，iYouPort,、马里兰大学、GFW报告表示他们可以找到6种客户端侧和4种服务端侧的方法来规避目前的屏蔽。

但是，不幸的是，这些方法可能不是一个长期有效的方法。就像猫鼠游戏一样，GFW会继续升级以改进审查能力，这三个组织补充道。

译者补充几个名词解释，以方便读者阅读

TLS1.3主要的更新内容是减少TCP/IP的握手次数以加快网站访问速度，同时提高了连接的加密性。

ESNI主要是针对的域名访问来说，旧的协议是SNI，哪怕是HTTPS这种加密流量，在握手阶段也要明文发送域名，从而GFW可以准确识别你要访问哪个网站从而屏蔽你的请求。而ESNI则直接对你要访问的域名进行加密，即无法直接拿到你要访问的网站域名信息。

https://www.zdnet.com/article/ch ... g-tls-1-3-and-esni/

评分

参与人数 1	积分 +8	收起理由
astina	+ 8	感谢分享

查看全部评分

关于论坛新闻版发帖标准的问题

https://www.oursteps.com.au/bbs/forum.php?mod=viewthread&tid=1827326

ineedanemail

头像被屏蔽

禁止发言

发表于 2020-8-10 20:31 |显示全部楼层

此文章由 ineedanemail 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 ineedanemail 所有！转贴必须注明作者、出处和本声明，并保持内容完整

太邪恶了

Hetbert

头像被屏蔽

禁止发言

发表于 2020-8-10 21:07 来自手机 |显示全部楼层

此文章由 Hetbert 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 Hetbert 所有！转贴必须注明作者、出处和本声明，并保持内容完整

Trojan TLS 1.3翻墙看来要改下加密方式了。

superdigua

钻石靴族

发表于 2020-8-10 21:12 |显示全部楼层

此文章由 superdigua 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 superdigua 所有！转贴必须注明作者、出处和本声明，并保持内容完整

本帖最后由 superdigua 于 2020-8-10 21:23 编辑

希望全世界尽快普及 TLS 1.3 和 ESNI

分享一个网址，可以测试自己的浏览器的支持情况
https://www.cloudflare.com/ssl/encrypted-sni/

本帖子中包含更多资源

您需要登录才可以下载或查看，没有帐号？注册

x

舆论自由意味着容忍自己不喜欢的言论的存在。
我的观点当然可能是错误的。可以拉黑，无权屏蔽。

Hetbert

头像被屏蔽

禁止发言

发表于 2020-8-10 21:27 来自手机 |显示全部楼层

此文章由 Hetbert 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 Hetbert 所有！转贴必须注明作者、出处和本声明，并保持内容完整

本帖最后由 Hetbert 于 2020-8-10 21:32 编辑

话说感觉GFW现在越来越松了，我妈现在用旧版小飞机通过香港谷歌云上外网,看YouTube快一年了也没有封IP。

感觉是能侦测的加密流量反而是高抬贵手，不能侦测的加密流量反到是下狠手。

whjheu

铜靴族

发表于 2020-8-10 21:37 |显示全部楼层

此文章由 whjheu 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 whjheu 所有！转贴必须注明作者、出处和本声明，并保持内容完整

Hetbert 发表于 2020-8-10 21:27
话说感觉GFW现在越来越松了，我妈现在用旧版小飞机通过香港谷歌云上外网,看YouTube快一年了也没有封IP。

...

可审查即可控，大可不必完全封死。看看Youtube公安是没闲心搭理的。

nmanz

金靴族

发表于 2020-8-11 00:47 |显示全部楼层

此文章由 nmanz 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 nmanz 所有！转贴必须注明作者、出处和本声明，并保持内容完整

干好事千疮百孔，干坏事滴水不漏

txyt

银靴族

发表于 2020-8-11 00:51 来自手机 |显示全部楼层

此文章由 txyt 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 txyt 所有！转贴必须注明作者、出处和本声明，并保持内容完整

Hetbert 发表于 2020-8-10 21:27
话说感觉GFW现在越来越松了，我妈现在用旧版小飞机通过香港谷歌云上外网,看YouTube快一年了也没有封IP。

...

偷看敌台以前要坐监的。

dafa

银靴族

发表于 2020-8-11 00:58 来自手机 |显示全部楼层

此文章由 dafa 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 dafa 所有！转贴必须注明作者、出处和本声明，并保持内容完整

朝鲜现在也是要劳改的

txyt

银靴族

发表于 2020-8-11 01:09 来自手机 |显示全部楼层

此文章由 txyt 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 txyt 所有！转贴必须注明作者、出处和本声明，并保持内容完整

dafa 发表于 2020-8-11 00:58
朝鲜现在也是要劳改的

西朝鲜也要跟进，严防有海外关系的阶级敌人搞破坏了。

返回列表

		自动登录	找回密码
密码			注册

精华好帖回顾

中国现在已经屏蔽所有同时采用了TLS1.3和ESNI的https加密流量 [复制链接]

评分

本帖子中包含更多资源

发表回复

浏览过的版块

2019年度勋章