La Cina sta ora bloccando tutto il traffico HTTPS crittografato che utilizza TLS 1.3 ed ESNI

Il governo cinese ha implementato un aggiornamento al suo strumento di censura nazionale (la Grande Muraglia della censura che oscura social network e stampa occidentale), noto come Great Firewall (GFW), per bloccare le connessioni HTTPS crittografate che vengono impostate utilizzando protocolli e tecnologie moderni e a prova di intercettazione. Il divieto è in vigore dalla fine di luglio, secondo un rapporto congiunto pubblicato questa settimana da tre organizzazioni che monitorano la censura cinese: iYouPort, l’Università del Maryland e il Great Firewall Report.

La Cina ora blocca HTTPS + TLS1.3 + ESNI
I funzionari cinesi attraverso il nuovo aggiornamento GFW, prendono di mira solo il traffico HTTPS che viene impostato con nuove tecnologie come TLS 1.3 e ESNI (Encrypted Server Name Indication). È ancora consentito altro traffico HTTPS attraverso il Great Firewall, se utilizza versioni precedenti degli stessi protocolli, come TLS 1.1 o 1.2 o SNI (Server Name Indication).
I censori cinesi per le connessioni HTTPS impostate tramite questi vecchi protocolli, possono dedurre a quale dominio un utente sta tentando di connettersi. Ciò è fatto esaminando il campo SNI (in chiaro) nelle prime fasi di una connessione HTTPS. Il campo SNI nelle connessioni HTTPS impostate tramite il più recente TLS 1.3, può essere nascosto tramite ESNI, la versione crittografata del vecchio SNI: poiché l’utilizzo di TLS 1.3 continua a crescere nel Web, il traffico HTTPS in cui vengono utilizzati TLS 1.3 ed ESNI sta ora dando ai sensori cinesi il mal di testa, poiché ora trovano più difficile filtrare il traffico HTTPS e controllare a quali contenuti la popolazione cinese può accedere.
Il governo cinese secondo i risultati del rapporto congiunto, sta attualmente abbandonando tutto il traffico HTTPS in cui vengono utilizzati TLS 1.3 ed ESNI, vietando temporaneamente gli indirizzi IP coinvolti nella connessione, per piccoli intervalli di tempo che possono variare tra due e tre minuti.

Esistono alcuni metodi di elusione… per ora
iYouPort, l’Università del Maryland e il Great Firewall Report per ora hanno affermato di essere stati in grado di trovare sei tecniche di elusione che possono essere applicate lato client (all’interno di app e software) e quattro che possono essere applicate lato server (su server e backend dell’app) per bypassare il blocco corrente di GFW. Le tre organizzazioni hanno detto:
«Sfortunatamente, queste strategie specifiche potrebbero non essere una soluzione a lungo termine, è probabile che il Great Firewall continui a migliorare le sue capacità di censura».
ZDNet ha anche confermato i risultati del rapporto con due ulteriori fonti – vale a dire membri di un fornitore di telecomunicazioni statunitense e un punto di scambio Internet (IXP) – utilizzando le istruzioni fornite in questa mailing list.

Pino Silvestri

About Pino Silvestri

Pino Silvestri, blogger per diletto, fondatore, autore di Virtualblognews, presente su Facebook e Twitter.
View all posts by Pino Silvestri →