Det foregår en kontinuerlig katt-og-mus-lek mellom kinesiske sensurmyndigheter og aktører som forsøker å omgå den store kinesiske brannmuren. Et hittil siste skritt i denne virksomheten er at kinesiske myndigheter når blokkerer webtrafikk som benytter en teknologi kalt Encrypted Server Name Indication (ESNI).
Mer kryptering
Server Name Indication (SNI) er noe en eldre teknologi som gjør det mulig for webservere å tilby flere sikkerhetssertifikater via samme IP-adresse og nettverksport, noe som også gjør at serveren kan tilby flere nettsteder via HTTPS fra samme IP-adresse, uten at de benytter det samme sertifikatet.
SNI-dataene er i utgangspunktet ikke krypterte, noe som gjør at de som lytter på forbindelsen kan se hvilket nettsted brukeren vil besøke. Det gjør det også mulig for sensurmyndigheter å blokkere visse nettsteder, uten å blokkere alle som tilbys fra samme IP-adresse.
Med den nyere ESNI er SNI-dataene kryptert, slik at sensurmyndigheter og andre ikke kan se hvilket nettsted brukeren ønsker å besøke, bare IP-adressen til serveren. ESNI er en utvidelse til TLS 1.3.
Siden slutten av juli
Foreløpig er bruken av og støtten for ESNI begrenset, men likevel tilstrekkelig til at kinesiske myndigheter de siste ukene har blokkert trafikk med kryptert SNI-informasjon. Dette berører mange flere nettsteder enn de nettstedene som de kinesiske myndighetene faktisk ønsker å blokkere.
Dette opplyses i en felles rapport fra IYouPort, University of Maryland og Great Firewall Report.
Der går det også fram at «leken» ikke er over med dette. I rapporten beskrives en rekke teknikker som kan brukes på enten klient- eller serversiden for å omgå de nye sperringene i den kinesiske brannmuren. Det understrekes likevel at det er lite trolig at noen av disse vil være noen langsiktig løsning, da sensurkapasitetene til den store, kinesiske brannmuren stadig forbedres.
Kommentarer (9)