HTTPS://: Trung Quốc không thích bảo mật và chặn tiện ích mở rộng ESNI

Theo một báo cáo chung của iYouPort, Đại học Maryland và Great Firewall Report, các kết nối TLS sử dụng phần mở rộng SNI được mã hóa sơ bộ ( ESNI ) đang bị chặn ở Trung Quốc. Một bước tiến mới đối với việc kiểm duyệt và mong muốn có thể theo dõi người dùng Internet.

1. SNI (Encrypted Server Name Indication) là gì?

Khi người dùng Internet truy cập một trang web trong HTTPS: //, điều đó có nghĩa là trang web đó được bảo mật bằng chứng chỉ SSL / TLS. Thông điệp đầu tiên của một lần bắt tay TLS được gọi là “client hello”. Với thông báo này, máy khách yêu cầu xem chứng chỉ TLS của máy chủ web. Máy chủ phải đính kèm chứng chỉ vào phản hồi của nó.

SNI phản hồi yêu cầu cụ thể này từ các nhà cung cấp dịch vụ lưu trữ và dịch vụ lưu trữ được chia sẻ của họ . Với giao thức SNI, máy khách chỉ ra tên máy chủ mà nó cố gắng bắt đầu thương lượng TLS. Điều này cho phép máy chủ hiển thị một số chứng chỉ cho cùng một địa chỉ IP. SNI có thể được so sánh với số căn hộ của một địa chỉ bưu điện: một tòa nhà có nhiều căn hộ, vì vậy mỗi căn hộ phải được xác định bằng một số khác nhau. Tương tự, nếu máy chủ được chỉ định bằng địa chỉ IP, các thiết bị khách phải bao gồm SNI trong tin nhắn đầu tiên của chúng gửi đến máy chủ để cho biết trang web nào (căn hộ) mà chúng đang cố gắng truy cập.

2. ESNI ( Chỉ báo tên máy chủ được mã hóa) là gì?

Việc thiết lập kết nối TLS được mã hóa bắt đầu vào cuối quá trình bắt tay. Sự cố, SNI không được mã hóa vì thông báo “client xin chào” được gửi ở đầu quá trình bắt tay TLS. Một hacker có thể xây dựng lại đường dẫn của người dùng Internet bằng cách đọc phần SNI của quá trình bắt tay, ngay cả khi anh ta không thể giải mã các liên lạc tiếp theo. 

ESNI ( Chỉ báo tên máy chủ được mã hóa) mã hóa phần Chỉ báo tên máy chủ (SNI) trong quá trình bắt tay TLS. Phần mở rộng ESNI có thể truy cập được thông qua phiên bản mới nhất của giao thức TLS, 1.3, đang ngày càng được áp dụng rộng rãi hiện nay. Nguyên tắc là lấy khóa mã hóa thông qua DNS (có thể bảo mật qua DNS thông qua HTTPS).

3. Trung Quốc trong những điều này?

Trong báo cáo của họ, iYouPort, Đại học Maryland trình bày chi tiết cách Trung Quốc nhìn nhận mã hóa bắt tay theo một khía cạnh rất tiêu cực. Điều này ngăn cản một cách hiệu quả công cụ giám sát Great Firewall của chính phủ Trung Quốc xem những gì người dùng Internet đang làm trực tuyến. 

Do đó, Trung Quốc đã quyết định chỉ đơn giản là chặn các kết nối HTTPS được thiết lập thông qua phiên bản mới nhất của giao thức TLS (1.3) được liên kết với ESNI . Ngoài ra, các địa chỉ IP liên quan đến kết nối tạm thời bị chặn trong hai đến ba phút.

Check Also

Các phương pháp hữu ích nhất để tìm ra chủ sở hữu tên miền

1. Tại sao Tìm kiếm Chủ sở hữu Tên miền? Tên miền là cơ sở …

Leave a Reply

Your email address will not be published. Required fields are marked *