Государственный брандмауэр, используемый властями КНР в качестве инструмента цензуры, в настоящее время блокирует все зашифрованные соединения, работающие с помощью механизма ESNI и протокола TLS 1.3. Технология была введена в конце июля. С какими трудностями сталкиваются китайские интернет-пользователи и что они должны учитывать при использовании глобальных сетевых ресурсов?
TLS — это основа зашифрованной связи в интернете. Протокол HTTPS, функционирующий на этом механизме, обеспечивает конфиденциальность данных, передаваемых между веб-браузером и сервером. Но, к сожалению, у TLS 1.1 и 1.2 есть недостаток. Несмотря на то, что шифрование гарантирует, что никто не сможет узнать, какая информация загружается с сервера, но адреса посещаемых сайтов прозрачны для администраторов сети, поскольку параметр SNI не зашифрован. В такой ситуации адрес сайта будет известен цензорам сети, и этого достаточно, чтобы отсечь пользователя от «неподходящего» контента. Такой метод цензуры в настоящее время применяется в Великом Брандмауэре.
В протоколе TLS 1.3 существует механизм шифрования параметров SNI, благодаря которому ни операторы связи, ни сетевые администраторы не могут проверить, какие сайты посещает пользователь интернета. Однако трафик с использованием TLS 1.3 в Китае был заблокирован и допускается только передача по протоколу TLS 1.1/1.2 и использование незашифрованного параметра SNI.
Как обойти цензуру?
Есть способы, с помощью которых можно избежать цензуры государственного брандмауэра. Шесть из них используются на стороне пользовательского программного обеспечения и четыре — на стороне сервера. Каждый работает практически со 100% надежностью. Но, к сожалению, представленные стратегии являются временными, поскольку Великий Брандмауэр продолжает активно совершенствоваться как инструмент цензуры.