China está bloqueando todo el tráfico HTTPS encriptado que utiliza TLS 1.3 y ESNI

El bloqueo se puso en marcha a finales de julio y se aplica a través del Gran Firewall de China.

El gobierno chino ha desplegado una actualización de su herramienta de censura nacional, conocida como el Gran Cortafuegos (GFW), para bloquear las conexiones HTTPS cifradas que se están estableciendo utilizando protocolos y tecnologías modernas y a prueba de interceptación.

La prohibición ha estado en vigor por lo menos una semana, desde finales de julio, según un informe conjunto publicado esta semana por tres organizaciones que rastrean la censura china — iYouPort, la Universidad de Maryland, y el Informe del Gran Firewall.

China ahora bloquea HTTPS+TLS1.3+ESNI

A través de la nueva actualización de GFW, los funcionarios chinos sólo están apuntando al tráfico HTTPS que se está configurando con nuevas tecnologías como TLS 1.3 y ESNI (Encrypted Server Name Indication).

Otro tráfico HTTPS sigue siendo permitido a través del Gran Cortafuegos, si utiliza versiones anteriores de los mismos protocolos – como TLS 1.1 o 1.2, o SNI (Indicación de Nombre del Servidor).

Para las conexiones HTTPS establecidas a través de estos protocolos antiguos, los censores chinos pueden inferir a qué dominio se está tratando de conectar un usuario. Esto se hace mirando el campo SNI (texto plano) en las primeras etapas de una conexión HTTPS.

En las conexiones HTTPS establecidas a través del nuevo TLS 1.3, el campo SNI puede ser ocultado a través de ESNI, la versión encriptada del antiguo SNI. A medida que el uso de TLS 1.3 continúa creciendo en la web, el tráfico HTTPS donde se utiliza TLS 1.3 y ESNI está dando dolores de cabeza a los sensores chinos, ya que ahora les resulta más difícil filtrar el tráfico HTTPS y controlar el contenido al que puede acceder la población china.

tls13-stats.png

Según las conclusiones del informe conjunto, el gobierno chino está abandonando actualmente todo el tráfico HTTPS en el que se utilizan TLS 1.3 y ESNI, y prohibiendo temporalmente las direcciones IP implicadas en la conexión, durante pequeños intervalos de tiempo que pueden variar entre dos y tres minutos.

Existen algunos métodos de evasión… por ahora

Por ahora, iYouPort, la Universidad de Maryland, y el Great Firewall Report dijeron que fueron capaces de encontrar seis técnicas de evasión que pueden ser aplicadas del lado del cliente (dentro de las aplicaciones y el software) y cuatro que pueden ser aplicadas del lado del servidor (en los servidores y en los backends de las aplicaciones) para evitar el actual bloqueo de GFW.

«Desafortunadamente, estas estrategias específicas pueden no ser una solución a largo plazo: a medida que el juego del gato y el ratón avance, es probable que el Gran Firewall siga mejorando sus capacidades de censura», añadieron también las tres organizaciones.

ZDNet también confirmó las conclusiones del informe con dos fuentes adicionales, a saber, miembros de un proveedor de telecomunicaciones de EE.UU. y un punto de intercambio de Internet (IXP), utilizando las instrucciones proporcionadas en esta lista de correo.

Fuente: zdnet

Comments are closed.