【翻牆問答】防火牆升級——切斷TLS 1.3 內聯網未來不是夢

2020-08-14
電郵
評論
Share
打印
2019年10月20日,第六屆世界互聯網大會在中國烏鎮開幕,與會人士須翻牆才能鏈接上被屏蔽的海外網站。自由之家《2019年全球網絡自由報告》中,中國連續第四年被評為網絡自由墊底的國家。(路透社)
2019年10月20日,第六屆世界互聯網大會在中國烏鎮開幕,與會人士須翻牆才能鏈接上被屏蔽的海外網站。自由之家《2019年全球網絡自由報告》中,中國連續第四年被評為網絡自由墊底的國家。(路透社)

問:近日很多國內聽眾翻牆都遇上難題,特別是當嘗試登錄TLS 1.3等新技術建立的網站,都無法順利連接。究竟發生了甚麼事?

李建軍:出現這種情況,主要是最近中國當局升級了網絡防火牆,對使用 TLS 1.3 和 ESNI 等技術建立的加密 HTTPS 連接進行了封鎖。原因是,HTTPS傳送內容的過程,雖然大部分是加密,但唯獨有一個過程不加密,那就是SNI信息。但假如是使用 TLS 1.3 和 ESNI 等現代防攔截協議和技術建立等新技術建立 HTTPS 連接,就能堵截這個漏洞,做到百分百加密。

一般的HTTPS連接因為一部實物主機要同時負責多個不同域名,不經加密的SNI信息就負責告知目標主機,打算要前往的正確域名。中共的防火長城在未升級前,可以根據這個未經加密信息,知道用者的瀏覽互聯網習慣。但TLS 1.3的使用,連告知目標主機這項信息都一併加密,令中共根本無法得知使用者的訪問目的地。而有很多翻牆技術,都是在HTTPS同TLS上建立,換言之,中共在這個技術下,根本無法攔截意圖翻牆的網民,因為中共的主機,連個別信息包的最終目的地都不清楚。因此,中共就不惜要切斷中國與國際主流互聯網群體的連接,切斷使用 TLS 1.3加密的通訊。

問:據說切斷 TLS 1.3的連接,可能造成大陸同國際主流互聯網群體切斷連接,為甚麼後果會如此嚴重?

李建軍:雖然 TLS 1.3技術,在2018年才正式接納為標準,近一年才為主流瀏覽器,以及部分翻牆軟件做標準,但由於瀏覽器和翻牆軟件都是免費,用戶亦習慣更新翻牆軟件和瀏覽器,以免受一些保安漏洞所影響,因此,在2020年,TLS 1.3已經成為業界主流,很多人的瀏覽器已經預設使用TLS 1.3。因此,中國當局這次對TLS 1.3下手,就造成了很多翻牆用戶在瀏覽海外網站的不便。

問:在現時的形勢下,如何克服中國當局切斷 TLS 1.3加密通訊的做法?

李建軍:由於這次防火牆升級只針對TLS 1.3技術,所以現時最好的做法,其實是不要使用太熱門的VPN,反而退回先用 TLS 1.2技術翻牆,因為當你用TLS 1.2的翻牆技術翻牆,中共的系統只會看到你的TLS 1.2的通訊,暫時是可行,只不過,如果防火牆再升級,使用深度檢測技術,將所有包含TLS 1.3通訊的連結都切斷,這另作別論。隨政治局勢的變化,中共有可能這樣做。

另一個做法,使用一個預設使用 TLS 1.2的瀏覽器,而翻牆時就使用正常預設 TLS 1.3的瀏覽器。這視乎你平日的瀏覽習慣,作出最適當的部署。但如果你主要使用平板電腦,或手機瀏覽網站,這套未必行得通,因為平板電腦或手機,都不會容許你改變機內TLS的設定。只不過,你的手機或平板電腦如果是舊裝置,有可能當中的瀏覽器版本偏舊,根本不支援TLS 1.3,在TLS 1.2幾乎每一個網站都支援的情況下,你暫時可以冒一些因舊版瀏覽器造成保安風險,使用這些舊版瀏覽器。當然前提是你瀏覽的最好是不太敏感的海外網站,否則,在TLS 1.2環境下可能存在的加密漏洞,或許能令當局對你進行辨識。

問:未來會否意味著,中國網民上網會遇上更多麻煩?

李建軍:這點是肯定,因為新的網絡技術,都以照顧個人私隱做第一優先,所以類似TLS 1.3這類會大大減少加密通訊中的非加密部分新技術,只會越來越多,這些都有助保障用戶私隱、突破中國的網絡防火長城;而中國政府為了阻止國民接觸自由網絡世界,一定會作出越來越古怪的安排,中國政府將中國的互聯網變成內聯網,已經不再是一個笑話。

Edge及Safari用戶可直接點擊收聽
其他瀏覽器用戶請點此下載播放插件

完整网站