防火墙开始屏蔽 ESNI

WestKorea

https://www.solidot.org/story?sid=65185

防火墙被发现开始屏蔽 ESNI（加密服务器名称指示）。TLS1.3 引入了 ESNI（尚未成为正式规格），用加密的 SNI 阻止中间人查看客户端要访问的特定网站。因为不知道用户使用 ESNI 访问的网站，审查者要么不封锁任何 ESNI 连接，要么封锁所有的 ESNI 连接。防火墙选择了后者。测试发现，防火墙通过丢弃从客户端到服务器的数据包来阻止 ESNI 连接。此外，ESNI 封锁不仅会发生在 443 端口，也会发生在 1 到 65535 的所有端口。在阻断 ESNI 握手后，防火墙会继续阻断与（源IP，目标IP，目标端口) 3 元组相关的任何连接一段时间。

ccfiu

加速就完事了，看最后会不会直接物理切断国际出口

backlitz

礼貌的绅士 发表于 2020-8-8 19:00
这个一刀切，而普通tls加密放过，是不是意味着近期对tls加密审查有对策呢 ...

不是近期。长期以来(esin出现前)，https都只能避免内容被审查，但无法避免访问的域名被检测。比如说某些明确不能访问的网站，即使你用sinproxy或者iptables转发转到可以访问的ip，如果没有esin，也可以被检测并干扰。但是有esin+0rtt的话，就没法探知域名并干扰了。

lanjuli

道高一尺魔高一丈

chr

这技术还没普及就屏蔽了，之前还盼着出来体验下

wifitry

不明觉厉

forever8938

本来就不能指望直连

mrw79

大神再厉害，有超算厉害？？？

TianTangJun

总会有新技术出现的