Inicio Noticias China está bloqueando el tráfico HTTPS cifrado que utiliza TLS 1.3 y ESNI

China está bloqueando el tráfico HTTPS cifrado que utiliza TLS 1.3 y ESNI

por José Antonio Niebla Rizo
China

El gobierno chino ha implementado una actualización de su herramienta nacional de censura. Es conocida como el Gran Cortafuegos (GFW). Para bloquear las conexiones HTTPS cifradas que se están configurando utilizando protocolos y tecnologías modernos a prueba de interceptaciones.

La prohibición ha estado en vigor durante al menos una semana, desde finales de julio, según un informe conjunto publicado esta semana por tres organizaciones que rastrean la censura china — iYouPort,la Universidad de Marylandy el Gran Informe del Cortafuegos.

CHINA AHORA BLOQUEA HTTPS+TLS1.3+ESNI

A través de la nueva actualización de GFW, los funcionarios chinos sólo se dirigen al tráfico HTTPS que se está configurando con nuevas tecnologías como TLS 1.3 y ESNI (Indicación de nombre de servidor cifrado).

Otro tráfico HTTPS todavía se permite a través del Gran Firewall, si utiliza versiones anteriores de los mismos protocolos, como TLS 1.1 o 1.2, o SNI (Indicación de nombre de servidor).

Para las conexiones HTTPS configuradas a través de estos protocolos más antiguos, los censores chinos pueden inferir en qué dominio intenta conectar un usuario. Esto se hace mirando el campo SNI (texto sin formato) en las primeras etapas de una conexión HTTPS.

En las conexiones HTTPS configuradas a través de TLS 1.3 más reciente, el campo SNI se puede ocultar a través de ESNI, la versión cifrada del SNI anterior. A medida que el uso de TLS 1.3 sigue creciendo en la web, el tráfico HTTPS donde se utiliza TLS 1.3 y ESNI ahora está dando dolores de cabeza a los sensores chinos, ya que ahora están encontrando más difícil filtrar el tráfico HTTPS y controlar a qué contenido puede acceder la población china.

tls13-stats.png china
Imagen: Qualys SSL Labs (a través de SixGen)

Según las conclusiones del informe conjunto, el gobierno chino está abandonando actualmente todo el tráfico HTTPS en el que se utilizan TLS 1.3 y ESNI, y prohíbe temporalmente las direcciones IP implicadas en la conexión, durante pequeños intervalos de tiempo que pueden variar entre dos y tres minutos.

EXISTEN ALGUNOS MÉTODOS DE ELUSIÓN… POR AHORA

Por ahora, iYouPort, la Universidad de Maryland y el Gran Informe Firewall dijeron que fueron capaces de encontrar seis técnicas de elusión que se pueden aplicar en el lado del cliente (dentro de aplicaciones y software) y cuatro que se pueden aplicar en el lado del servidor (en servidores y backends de aplicaciones) para eludir el bloque actual de la GFW.

«Desafortunadamente, estas estrategias específicas pueden no ser una solución a largo plazo: a medida que el juego de gato y ratón progresa, es probable que el Gran Firewall continúe mejorando sus capacidades de censura», agregaron también las tres organizaciones. Ahora también confirmó las conclusiones del informe con dos fuentes adicionales — a saber, los miembros de un proveedor de telecomunicaciones estadounidense y un punto de intercambio de Internet (IXP) — utilizando las instrucciones proporcionadas en esta lista de correo.

A continuación déjanos tu comentario y síguenos en nuestro blog y redes sociales para que estés al tanto de las noticias sobre ciencia y tecnología.

También te puede gustar

Deja un comentario

Este sitio web usa cookies para mejorar la experiencia. Asumimos que aceptas, aunque puedes desactivarlas en cualquier momento. Aceptar Leer más