中国防火墙开始屏蔽 ESNI
Geneva、GFW Report、iYouPort团队发现中国的防火长城(GFW)已经开始封锁ESNI(加密服务器名称指示)这一TLS1.3和HTTPS的基础特性。测试发现,防火墙通过丢弃从客户端到服务器的数据包来阻止 ESNI 连接。此外,ESNI 封锁不仅会发生在 443 端口,也会发生在 1 到 65535 的所有端口。在阻断 ESNI 握手后,防火墙会继续阻断与(源IP,目标IP,目标端口) 3 元组相关的任何连接一段时间。
服务器名称指示(英语:Server Name Indication,简称SNI)是一个扩展的TLS计算机联网协议,在该协议下,在握手过程开始时客户端告诉它正在连接的服务器要连接的主机名称。这允许服务器在相同的IP地址和TCP端口号上呈现多个TLS证书,并且因此允许在相同的IP地址上提供多个安全(HTTPS)网站(或其他任何基于TLS的服务),而不需要所有这些站点使用相同的TLS证书。它与HTTP/1.1基于名称的虚拟主机的概念相同,但是用于HTTPS。所需的主机名未加密, 因此窃听者可以查看请求的网站。
由于SNI信息并非加密的,允许审查者区分出“真实”和“虚假”的服务或者识别出用户访问的网站域名。现已被部分国家用于互联网审查。
作为TLS的标准扩展实现,TLS 1.3将通过支持加密SNI以解决这个问题。目前,Cloudflare、Mozilla、Fastly和苹果的开发者已开始制定了关于加密服务器名称指示(Encrypted Server Name Indication)的草案。
#中国 #GFW #网络审查
信息安全技术频道🔎
@tg_InternetSecurity
Geneva、GFW Report、iYouPort团队发现中国的防火长城(GFW)已经开始封锁ESNI(加密服务器名称指示)这一TLS1.3和HTTPS的基础特性。测试发现,防火墙通过丢弃从客户端到服务器的数据包来阻止 ESNI 连接。此外,ESNI 封锁不仅会发生在 443 端口,也会发生在 1 到 65535 的所有端口。在阻断 ESNI 握手后,防火墙会继续阻断与(源IP,目标IP,目标端口) 3 元组相关的任何连接一段时间。
服务器名称指示(英语:Server Name Indication,简称SNI)是一个扩展的TLS计算机联网协议,在该协议下,在握手过程开始时客户端告诉它正在连接的服务器要连接的主机名称。这允许服务器在相同的IP地址和TCP端口号上呈现多个TLS证书,并且因此允许在相同的IP地址上提供多个安全(HTTPS)网站(或其他任何基于TLS的服务),而不需要所有这些站点使用相同的TLS证书。它与HTTP/1.1基于名称的虚拟主机的概念相同,但是用于HTTPS。所需的主机名未加密, 因此窃听者可以查看请求的网站。
由于SNI信息并非加密的,允许审查者区分出“真实”和“虚假”的服务或者识别出用户访问的网站域名。现已被部分国家用于互联网审查。
作为TLS的标准扩展实现,TLS 1.3将通过支持加密SNI以解决这个问题。目前,Cloudflare、Mozilla、Fastly和苹果的开发者已开始制定了关于加密服务器名称指示(Encrypted Server Name Indication)的草案。
#中国 #GFW #网络审查
信息安全技术频道🔎
@tg_InternetSecurity