Власти КНР обновили «Золотой щит» (он же «Великий китайский файрвол») – теперь инструмент блокирует HTTPS-соединение, устанавливаемое с помощью устойчивых к перехвату технологий и протоколов передачи данных.
Специалисты Университета Мэриленда, iYouPort и Great Firewall Report сообщили: HTTPS-соединение блокируется с конца июля.
Блокируется, однако, только HTTPS-трафик c протоколом TLS 1.3 и его расширение ESNI (Encrypted Server Name Indication). Остальной HTTPS-трафик, использующий версии TLS 1.1 и TLS 1.2, проходит.
Более старые версии TLS позволяют цензорам узнавать, к каким доменам подключаются граждане – нужно просто посмотреть на поле SNI (в незашифрованном виде) на ранних этапах подключения по HTTPS.
При подключении по HTTPS с использованием более новой версии протокола, TLS 1.3, поле SNI можно спрятать с помощью технологии ESNI. Поскольку сегодня TLS 1.3 используется всё чаще, властям КНР становится сложнее фильтровать и цензурировать трафик.