据报道,在对其国家检查工具“长防火墙”的更新中,中国已开始使用加密服务器名称指示来阻止HTTPS连接。这项禁令已经实施了一个多星期,三个追踪中国审查制度的组织——iYouPort,马里兰大学和《防火墙报告》-本周在一份联合报告中表示。
报告说:“我们确认中国的长防火墙(GFW)最近已开始阻止ESNI,这是TLS 1.3和HTTPS的基本功能之一。”
TLS是Web(HTTPS)上安全通信的基础。它提供了经过身份验证的加密,以便用户可以知道与谁通信。它还可以确保中间人不会阅读或篡改您的信息。
但是,即使TLS隐藏了用户通信的内容,但它并不总是隐藏用户正在与谁通信的内容。TLS握手(启动通信会话的过程)可选地包含服务器名称指示(SNI)字段,该字段允许用户的客户端通知服务器希望与哪个网站进行通信。
该报告称,民族国家的审查机构已使用SNI字段来阻止用户与某些目的地进行通信,并补充说,中国长期以来一直在以这种方式审查HTTPS。
报告说,TLS 1.3引入了加密的SNI(ESNI),它对SNI进行加密,以使中间人无法查看它。防火墙增加了从客户端到服务器的数据包,从而阻止了ESNI连接。
