El ‘Gran Firewall de China’ se pone aún más duro y bloquea todo el tráfico TLS 1.3 con ESNI para evitar acesos a destinos prohibidos

Javier Pastor

Chinano se anda con chiquitasa la hora de bloquear tráfico que no es bien visto por el Gobierno de ese país.Su “Gran Firewall”-en alusión a la gran muralla china- lleva añosactuando como herramienta de censurapara evitar que sus ciudadanos puedan acceder a ciertos sitios y servicios web.

Ahora esta plataforma se ha actualizado parabloquear todo el tráfico HTTPS que hace uso del protocolo TLS 1.3 y de la tecnología ESNI(Encrypted Server Name Indication). La razón es evidente: con esa combinación el Gobierno chino tiene más difícil que nunca tratar de controlar qué servicios están siendo accedidos y por parte de quién. Así que la solución es obvia para ellos: prohíben dichas comunicaciones.

Como China no sabe dónde acceden sus ciudadanos, asume que es algo malo

Un estudio de diversos expertosha descubiertocómo desde finales de julio China está “aparentementebloqueando las conexiones TLS con la extensión ESNI en China”.

El tráfico HTTPS con versiones más antiguas del protocolo TLS (la 1.1 o la 1.2) y con la extensión SNI queno cifra con quién quiere conectarseaquel que realiza la petición de información.

Como explican en el estudio, aunque TLS esconde el contenido de la comunicación, “no siempre esconde con quién se está comunicando el usuario”. En el llamado handshake que se produce al conectar ambos extremos se produce la transmisión del campo llamado Server Name Indication (SNI) que permite que el cliente del usuario informe al servidor con qué sitio web se quiere comunicar.

China ha utilizado ese campo para bloquear el acceso a ciertos destinos en transmisiones vía HTTPS, pero con TLS 1.3 se permitía el uso de un SNI cifrado que no pudiera usarse para detectar ese destino.¿Qué ha hecho China? Asumir que el destino era un destino prohibidoy bloquear todo ese tráfico directamente.

Aunque el bloqueo ya está activo, estos investigadores han descubiertoal menos seis técnicas distintas que se pueden aplicar en el lado del clientey otras cuatro en el lado del servidor paraevitar el bloqueo actualde la plataforma de censura china.

Aún así, avisan, dichas técnicas “no parecen ser una solución a largo plazo”, y aquí probablemente se plantee una típica persecución del gato y el ratón en la que el Gobierno de China tratará de ir atajando esas técnicas mientras aparecen otras nuevas.

Vía |ZDNet

El ‘Gran Firewall de China’ se pone aún más duro y bloquea todo el tráfico TLS 1.3 con ESNI para evitar acesos a destinos prohibidos#

Como China no sabe dónde acceden sus ciudadanos, asume que es algo malo#

El ‘Gran Firewall de China’ se pone aún más duro y bloquea todo el tráfico TLS 1.3 con ESNI para evitar acesos a destinos prohibidos

Como China no sabe dónde acceden sus ciudadanos, asume que es algo malo