中国は現在、TLS 1.3 と ESNI を使用する暗号化された HTTPS トラフィックをすべてブロックしています。

なにやら気になる記事があったので翻訳してみました。中国に向けて情報発信するのは国家安全法は日本から中国のことを悪く言っても適用される法律なのでグレイトファイアーウォールをすり抜けて商売しようと言う人は注意が必要です。

【参考記事】

下記の記事を翻訳していきます。

このブロックは7月末に設置され、中国の大防壁を経由して施行されています。
中国政府は、大防火壁（GFW）として知られる国家検閲ツールのアップデートを展開し、最新の傍受防止プロトコルと技術を用いて設定されている暗号化されたHTTPS接続をブロックしている。

中国の検閲を追跡している3つの組織（iYouPort、メリーランド大学、グレート・ファイアウォール・レポート）が今週発表した共同レポートによると、この禁止は7月末から少なくとも1週間前から行われている。
中国は現在、HTTPS+TLS1.3+ESNIをブロックしている

新しい GFW の更新により、中国当局は TLS 1.3 や ESNI（Encrypted Server Name Indication）のような新しい技術で設定された HTTPS トラフィックのみを標的としています。

 その他の HTTPS トラフィックは、TLS 1.1 や 1.2、SNI（サーバ名表示）などの古いバージョンの同じプロトコルを使用している場合は、グレートファイアウォールを通過することができます。
これらの古いプロトコルを介して設定された HTTPS 接続の場合、中国の検閲者は、ユーザーが接続しようとしているドメインを推論することができる。これは、HTTPS 接続の初期段階で SNI フィールド（プレーンテキスト）を見ることによって行われる。

 新しい TLS 1.3 を介して設定された HTTPS 接続では、古い SNI の暗号化バージョンである ESNI を介して SNI フィールドを非表示にすることができます。TLS 1.3の使用がウェブ上で増え続ける中、TLS 1.3とESNIが使用されているHTTPSトラフィックは、HTTPSトラフィックをフィルタリングし、中国の人口がアクセスできるコンテンツを制御することが難しくなっているため、中国のセンサーに頭痛の種を与えています。

共同報告書の調査結果によると、中国政府は現在、TLS 1.3とESNIが使用されているすべてのHTTPSトラフィックを停止し、接続に関与するIPアドレスを2～3分程度の小さな間隔で一時的に禁止しているという。

今のところ、iYouPort、メリーランド大学、Great Firewall Reportによると、クライアント側（アプリやソフトウェアの内部）で適用できる6つの回避テクニックと、サーバー側（サーバーやアプリのバックエンド）でGFWの現在のブロックをバイパスするために適用できる4つの回避テクニックを見つけることができたという。 "残念ながら、これらの特定の戦略は長期的な解決策にはならないかもしれません：猫とネズミのゲームが進行するにつれて、グレートファイアウォールは検閲能力を向上させ続ける可能性が高いでしょう」と、3つの組織も付け加えています。

 

ZDNetはまた、このメーリングリストで提供されている指示に基づいて、米国の電気通信事業者とインターネット交換ポイント(IXP)のメンバーという2つの追加情報源に報告書の調査結果を確認しました。 いくつかの専門用語を明確にするために記事を更新しました。

 

www.DeepL.com/Translator（無料版）で翻訳しました。