中国现在拦截所有使用TLS 1.3和ESNI的加密HTTPS流量

中国政府部署了被称为长城(GFW)的国家审查工具的更新，以阻止使用现代防拦截协议和技术建立的加密HTTPS连接。

根据追踪中国审查制度的三个组织-iYouPort、马里兰大学(University Of Marland)和长城报告(Great Firewall Report)本周联合发布的一份报告，自7月底以来，这项禁令已经实施了至少一周。

通过新的GFW更新，中国官员只针对使用TLS 1.3和ESNI(加密服务器名称指示)等新技术设置的HTTPS流量。

如果长城防火墙使用相同协议的旧版本，例如TLS 1.1或1.2，或者SNI(服务器名称指示)，则仍然允许其他HTTPS流量通过。

对于通过这些旧协议建立的HTTPS连接，中国审查人员可以推断用户试图连接的域。这是通过查看HTTPS连接早期阶段的(明文)SNI字段来实现的。

在通过较新的TLS 1.3建立的HTTPS连接中，可以通过ESNI(旧SNI的加密版本)隐藏SNI字段。随着TLS 1.3在网络上的使用量持续增长，使用TLS 1.3和ESNI的HTTPS流量现在让中国的传感器感到头疼，因为他们现在发现，过滤HTTPS流量和控制中国人可以访问的内容变得更加困难。

根据联合报告的调查结果，中国政府目前正在丢弃使用TLS 1.3和ESNI的所有HTTPS流量，并暂时禁止连接所涉及的IP地址，时间间隔很短，可能在两到三分钟之间。

目前，iYouPort、马里兰大学(University Of Marland)和长城防火墙报告(Great Firewall Report)表示，他们能够找到6种可以应用于客户端(应用和软件内部)的规避技术，以及4种可以应用于服务器端(服务器和应用后端)以绕过GFW当前拦截的技术。

不幸的是，这些具体的策略可能不是一个长期的解决方案：随着猫捉老鼠游戏的进展，长城防火墙很可能会继续提高其审查能力，这三个组织还补充道。

ZDNet还利用本邮件列表中提供的说明，通过另外两个来源--即一家美国电信提供商的成员和一个互联网交换点(IXP)--证实了该报告的发现。