找回密码
 注册
搜索
热搜: 活动 交友
查看: 5081|回复: 0

中国升级防火墙 中国网民上网会遇上更多麻烦?

[复制链接]

1万

主题

1万

回帖

25万

积分

管理员

热心会员

积分
256849
发表于 2020-8-15 06:42:01 | 显示全部楼层 |阅读模式
自由亚洲



问:近日很多国内听众翻墙都遇上难题,特别是当尝试登录TLS 1.3等新技术建立的网站,都无法顺利连接。究竟发生了什么事?

李建军:出现这种情况,主要是最近中国当局升级了网络防火墙,对使用TLS 1.3和ESNI等技术建立的加密HTTPS连接进行了封锁。原因是,HTTPS传送内容的过程,虽然大部分是加密,但唯独有一个过程不加密,那就是SNI信息。但假如是使用TLS 1.3和ESNI等现代防拦截协议和技术建立等新技术建立HTTPS连接,就能堵截这个漏洞,做到百分百加密。

一般的HTTPS连接因为一部实物主机要同时负责多个不同域名,不经加密的SNI信息就负责告知目标主机,打算要前往的正确域名。中共的防火长城在未升级前,可以根据这个未经加密信息,知道用者的浏览互联网习惯。但TLS 1.3的使用,连告知目标主机这项信息都一并加密,令中共根本无法得知使用者的访问目的地。而有很多翻墙技术,都是在HTTPS同TLS上建立,换言之,中共在这个技术下,根本无法拦截意图翻墙的网民,因为中共的主机,连个别信息包的最终目的地都不清楚。因此,中共就不惜要切断中国与国际主流互联网群体的连接,切断使用TLS 1.3加密的通讯。

问:据说切断TLS 1.3的连接,可能造成大陆同国际主流互联网群体切断连接,为什么后果会如此严重?

李建军:虽然TLS 1.3技术,在2018年才正式接纳为标准,近一年才为主流浏览器,以及部分翻墙软件做标准,但由于浏览器和翻墙软件都是免费,用户亦习惯更新翻墙软件和浏览器,以免受一些保安漏洞所影响,因此,在2020年,TLS 1.3已经成为业界主流,很多人的浏览器已经预设使用TLS 1.3。因此,中国当局这次对TLS 1.3下手,就造成了很多翻墙用户在浏览海外网站的不便。

问:在现时的形势下,如何克服中国当局切断TLS 1.3加密通讯的做法?

李建军:由于这次防火墙升级只针对TLS 1.3技术,所以现时最好的做法,其实是不要使用太热门的VPN,反而退回先用TLS 1.2技术翻墙,因为当你用TLS 1.2的翻墙技术翻墙,中共的系统只会看到你的TLS 1.2的通讯,暂时是可行,只不过,如果防火墙再升级,使用深度检测技术,将所有包含TLS 1.3通讯的连结都切断,这另作别论。随政治局势的变化,中共有可能这样做。

另一个做法,使用一个预设使用TLS 1.2的浏览器,而翻墙时就使用正常预设TLS 1.3的浏览器。这视乎你平日的浏览习惯,作出最适当的部署。但如果你主要使用平板电脑,或手机浏览网站,这套未必行得通,因为平板电脑或手机,都不会容许你改变机内TLS的设定。只不过,你的手机或平板电脑如果是旧装置,有可能当中的浏览器版本偏旧,根本不支援TLS 1.3,在TLS 1.2几乎每一个网站都支援的情况下,你暂时可以冒一些因旧版浏览器造成保安风险,使用这些旧版浏览器。当然前提是你浏览的最好是不太敏感的海外网站,否则,在TLS 1.2环境下可能存在的加密漏洞,或许能令当局对你进行辨识。

问:未来会否意味着,中国网民上网会遇上更多麻烦?

李建军:这点是肯定,因为新的网络技术,都以照顾个人私隐做第一优先,所以类似TLS 1.3这类会大大减少加密通讯中的非加密部分新技术,只会越来越多,这些都有助保障用户私隐、突破中国的网络防火长城;而中国政府为了阻止国民接触自由网络世界,一定会作出越来越古怪的安排,中国政府将中国的互联网变成内联网,已经不再是一个笑话。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|阿波罗网

GMT+8, 2024-12-26 09:13

快速回复 返回顶部 返回列表