中国升级防火墙 中国网民上网会遇上更多麻烦？

kindwater

自由亚洲



问：近日很多国内听众翻墙都遇上难题，特别是当尝试登录TLS 1.3等新技术建立的网站，都无法顺利连接。究竟发生了什么事？

李建军：出现这种情况，主要是最近中国当局升级了网络防火墙，对使用TLS 1.3和ESNI等技术建立的加密HTTPS连接进行了封锁。原因是，HTTPS传送内容的过程，虽然大部分是加密，但唯独有一个过程不加密，那就是SNI信息。但假如是使用TLS 1.3和ESNI等现代防拦截协议和技术建立等新技术建立HTTPS连接，就能堵截这个漏洞，做到百分百加密。

一般的HTTPS连接因为一部实物主机要同时负责多个不同域名，不经加密的SNI信息就负责告知目标主机，打算要前往的正确域名。中共的防火长城在未升级前，可以根据这个未经加密信息，知道用者的浏览互联网习惯。但TLS 1.3的使用，连告知目标主机这项信息都一并加密，令中共根本无法得知使用者的访问目的地。而有很多翻墙技术，都是在HTTPS同TLS上建立，换言之，中共在这个技术下，根本无法拦截意图翻墙的网民，因为中共的主机，连个别信息包的最终目的地都不清楚。因此，中共就不惜要切断中国与国际主流互联网群体的连接，切断使用TLS 1.3加密的通讯。

问：据说切断TLS 1.3的连接，可能造成大陆同国际主流互联网群体切断连接，为什么后果会如此严重？

李建军：虽然TLS 1.3技术，在2018年才正式接纳为标准，近一年才为主流浏览器，以及部分翻墙软件做标准，但由于浏览器和翻墙软件都是免费，用户亦习惯更新翻墙软件和浏览器，以免受一些保安漏洞所影响，因此，在2020年，TLS 1.3已经成为业界主流，很多人的浏览器已经预设使用TLS 1.3。因此，中国当局这次对TLS 1.3下手，就造成了很多翻墙用户在浏览海外网站的不便。

问：在现时的形势下，如何克服中国当局切断TLS 1.3加密通讯的做法？

李建军：由于这次防火墙升级只针对TLS 1.3技术，所以现时最好的做法，其实是不要使用太热门的VPN，反而退回先用TLS 1.2技术翻墙，因为当你用TLS 1.2的翻墙技术翻墙，中共的系统只会看到你的TLS 1.2的通讯，暂时是可行，只不过，如果防火墙再升级，使用深度检测技术，将所有包含TLS 1.3通讯的连结都切断，这另作别论。随政治局势的变化，中共有可能这样做。

另一个做法，使用一个预设使用TLS 1.2的浏览器，而翻墙时就使用正常预设TLS 1.3的浏览器。这视乎你平日的浏览习惯，作出最适当的部署。但如果你主要使用平板电脑，或手机浏览网站，这套未必行得通，因为平板电脑或手机，都不会容许你改变机内TLS的设定。只不过，你的手机或平板电脑如果是旧装置，有可能当中的浏览器版本偏旧，根本不支援TLS 1.3，在TLS 1.2几乎每一个网站都支援的情况下，你暂时可以冒一些因旧版浏览器造成保安风险，使用这些旧版浏览器。当然前提是你浏览的最好是不太敏感的海外网站，否则，在TLS 1.2环境下可能存在的加密漏洞，或许能令当局对你进行辨识。

问：未来会否意味着，中国网民上网会遇上更多麻烦？

李建军：这点是肯定，因为新的网络技术，都以照顾个人私隐做第一优先，所以类似TLS 1.3这类会大大减少加密通讯中的非加密部分新技术，只会越来越多，这些都有助保障用户私隐、突破中国的网络防火长城；而中国政府为了阻止国民接触自由网络世界，一定会作出越来越古怪的安排，中国政府将中国的互联网变成内联网，已经不再是一个笑话。