Китайський уряд зайнялося істотним оновлення всієї системи фільтрації інтернету в країні. Тепер “Великий китайський файрвол” вміє блокувати зашифровані HTTPS-з’єднання, які створюються з використанням сучасних, захищених від перехоплення протоколів і технологій.
Як пише видання ZDnet, нові функції успішно працюють з кінця липня і дозволяють блокувати HTTPS-трафік, який налаштовується за допомогою нових технологій, таких як TLS 1.3 і ESNI (Encrypted Server Name Indication). При цьому, інший HTTPS-трафік як і раніше не потрапляє під фільтрацію, якщо використовує старі версії цих же протоколів.
Для HTTPS-з’єднань, налаштованих за допомогою цих старих протоколів, китайські цензори можуть визначити, до якого домену користувач намагається підключитися. Це робиться шляхом перегляду поля SNI (plaintext) на ранніх стадіях HTTPS-з’єднання.
У HTTPS-з’єднання, налаштованих за допомогою нового TLS 1.3, поле SNI може бути приховано за допомогою ESNI, зашифрованою версії старого SNI. Оскільки використання TLS 1.3 продовжує зростати в усьому інтернеті, HTTPS-трафік, де використовуються TLS 1.3 і ESNI, тепер викликає головний біль у китайських датчиків, оскільки їм тепер важче фільтрувати HTTPS-трафік і контролювати, до якого контенту може отримати доступ китайське населення. Китайський уряд в даний час скидає весь HTTPS-трафік, де використовуються TLS 1.3 і ESNI, і тимчасово забороняє IP-адреси, які беруть участь в з’єднанні, на невеликі проміжки часу, які можуть варіюватися від двох до трьох хвилин.