Blog IT, Blog Marketing

Chiny blokują TLS 1.3

Chiny blokują TLS 1.3

Marcin Sarna , 10.08.2020 r.

Chiny blokują od teraz cały zaszyfrowany ruch HTTPS, który korzysta z TLS 1.3 i ESNI

Blokada została wprowadzona pod koniec lipca i jest egzekwowana przez chińską „wielką zaporę ogniową” (China’s Great Firewall).

Na czym polega zakaz

Chiński rząd posiada ogólnokrajowe narzędzie cenzurujące, znane pod nazwą Wielkiej Zapory (Great Firewall). Teraz wdrożył aktualizację w celu zablokowania szyfrowanych połączeń HTTPS, które są ustanawiane gdy użytkownik korzysta z nowoczesnych (czyt.: po prostu współczesnych), odpornych na przechwytywanie, protokołów i technologii.

Zakaz obowiązuje od końca lipca, przynajmniej według wspólnego raportu opublikowanego w tym tygodniu przez trzy organizacje śledzące chińską cenzurę - iYouPort, University of Maryland i Great Firewall Report.

Co jest szyfrowane

TLS to podstawa bezpiecznej komunikacji w sieci (HTTPS). Zapewnia uwierzytelnione szyfrowanie, dzięki czemu użytkownicy mogą wiedzieć, z kim się komunikują, i że ich informacje nie mogą zostać odczytane ani zmienione przez pośrednika. Chociaż TLS ukrywa treść komunikacji użytkownika, nie zawsze ukrywa, z kim się on komunikuje. Mamy bowiem pole Server Name Indication (SNI), które umożliwia klientowi użytkownika poinformowanie serwera, z którą witryną chce się komunikować. Cenzorzy z państw narodowych używają pola SNI do blokowania użytkownikom możliwości komunikowania się z określonymi miejscami docelowymi. Chiny od dawna cenzurują HTTPS w ten sposób.

W protokole TLS 1.3 wprowadzono szyfrowany SNI (ESNI), który szyfruje SNI, aby pośrednicy nie mogli go zobaczyć. Więcej o ESNI poczytasz tutaj.

PHP Developer 19000 - 22000 PLN

Praca zdalna
Aplikuj

Specjalista ds. wsparcia IT - Analiza Techniczna sprzętu IT 8000 - 15000 PLN

Warszawa
Aplikuj

Lead Automation Test Engineer 15000 - 22000 PLN

Praca zdalna
Aplikuj

Junior IT Recruiter/in mit Deutsch 3500 - 4500 PLN

Warszawa
Aplikuj

Specjalista ds. Controllingu 10000 - 15000 PLN

Biskupiec-Kolonia Druga
Aplikuj

Zakaz od strony technicznej czyli stare szyfrowania są OK dla cenzorów

Dzięki nowej aktualizacji GFW chińscy urzędnicy celują tylko w ruch HTTPS, który jest konfigurowany przy użyciu nowych technologii, takich jak TLS 1.3 i ESNI (Encrypted Server Name Indication). Inny ruch HTTPS jest nadal dozwolony mieszkańcom Chin, jeśli używa starszych wersji tych samych protokołów - takich jak TLS 1.1 lub 1.2 lub SNI (Server Name Indication).

W przypadku połączeń HTTPS konfigurowanych za pomocą tych starszych protokołów chińscy cenzorzy mogą wywnioskować, z jaką domeną użytkownik próbuje się połączyć. Odbywa się to poprzez analizę pola SNI (jest ono w plaintext) na wczesnych etapach połączeń HTTPS.

Natomiast w połączeniach HTTPS zestawionych za pośrednictwem nowszej wersji TLS 1.3 pole SNI można ukryć za pośrednictwem ESNI, zaszyfrowanej wersji starego SNI. Ponieważ TLS 1.3 jest coraz szerzej wykorzystywane w Internecie, ruch HTTPS, w którym używany jest TLS 1.3 i ESNI, przyprawia chińskich cenzorów o ból głowy. Trudniej jest bowiem filtrować ruch HTTPS i kontrolować, do jakich treści ma dostęp chińska ludność.

Zgodnie z ustaleniami wspólnego raportu rząd chiński obecnie nie tylko zakazuje całego ruchu HTTPS, w którym używane są TLS 1.3 i ESNI ale i dodatkowo, tymczasowo blokuje adresy IP zaangażowane w połączenie, na małe odstępy czasu, które mogą wynosić od dwóch do trzech minut.

Obchodzenie zakazu

Póki co iYouPort, University of Maryland i Great Firewall Report stwierdzili, że udało im się znaleźć sześć technik obchodzenia nowych obostrzeń, które można zastosować po stronie klienta (w aplikacjach i oprogramowaniu) oraz cztery, które można zastosować po stronie serwera (na serwerach i aplikacjach backendowych). Jak jednak czytamy w raporcie:

Niestety, te konkretne strategie mogą nie być rozwiązaniem długoterminowym. Cenzorzy nie śpią a gra w kotka i myszkę dopiero się rozkręca. Wielka Zapora prawdopodobnie będzie nadal poprawiać swoje możliwości cenzurowania

Czytelników chętny do zapoznania się bliżej z raportem odsyłamy na stronę Great Firewall Report – tutaj.

Najnowsze oferty pracy:

Shopify Developer - główne technologie

Shopify Developer

Umowa o pracę B2B / Kontrakt
Junior IT Specialist - główne technologie

Junior IT Specialist

Umowa o pracę
Młodszy Specjalista ds. IT - główne technologie

Młodszy Specjalista ds. IT

Umowa o pracę
SAP ABAP Developer - główne technologie

SAP ABAP Developer

Umowa o pracę B2B / Kontrakt
Programista SAP ABAP - główne technologie

Programista SAP ABAP

Umowa o pracę B2B / Kontrakt

Polecane wpisy na blogu IT:

Generation Quit. Dlaczego ludzie z pokolenia Z tak łatwo rezygnują z pracy?

Generation Quit. Dlaczego ludzie z pokolenia Z tak łatwo rezygnują z pracy?

Zaangażowani społecznie. Konkretnie pomagamy!

Zaangażowani społecznie. Konkretnie pomagamy!

Account Manager. Więcej niż sprzedawca

Account Manager. Więcej niż sprzedawca

Jak zbudować premię referencyjną w 5 krokach?

Jak zbudować premię referencyjną w 5 krokach?

Praca zdalna w prawie pracy

Praca zdalna w prawie pracy

Jak skutecznie demotywować zespół?

Jak skutecznie demotywować zespół?

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej

W czym programujesz?

Popularne stanowiska

Praca w miastach