Китайское правительство добавило нововведения в свой инструмент цензуры «Золой щит», или так называемый «Великий китайский файрвол», и теперь он блокирует HTTPS-соединение, устанавливаемое с помощью современных, устойчивых к перехвату технологий и протоколов передачи данных. Как сообщают (https://gfw.report/blog/gfw_esni_blocking/en/) в своем отчете специалисты Университета Мэриленда и организаций iYouPort и Great Firewall Report, занимающиеся (https://geneva.cs.umd.edu/posts/china-censors-esni/esni/) отслеживанием цензуры в Китае, HTTPS-соединение блокируется (https://web.archive.org/web/20200801221253/https://mailarchive.ietf.org/arch/msg/tls/YzT5LjLJ_6WWhdnU2wVsKNKR6_I/) с конца прошлого месяца.

Блокировка затрагивает только HTTPS-трафик, использующий протокол TLS 1.3 и его расширение ESNI (Encrypted Server Name Indication). Остальной HTTPS-трафик, использующий версии TLS 1.1 и TLS 1.2, не блокируется. Дело в том, что более старые версии TLS позволяют китайским властям узнавать, к каким доменам подключаются пользователи. Для этого достаточно лишь посмотреть на поле SNI (в незашифрованном виде) на ранних этапах подключения по HTTPS.

При подключении по HTTPS с использованием более новой версии протокола, TLS 1.3, поле SNI можно спрятать с помощью технологии ESNI. Поскольку в настоящее время TLS 1.3 используется все чаще, китайским властям становится сложнее фильтровать и цензурировать трафик.

Согласно отчету специалистов, сейчас в Китае блокируется все HTTPS-соединение с использованием TLS 1.3 и ESNI, а также временно (на 2-3 минуты) блокируются все участвующие в нем IP-адреса.

https://www.securitylab.ru/news/510937.php (https://www.securitylab.ru/news/510937.php?ref=123)