【翻墙问答】防火墙升级——切断TLS 1.3 内联网未来不是梦

2020-08-14
电邮
评论
Share
打印
2019年10月20日,第六届世界互联网大会在中国乌镇开幕,与会人士须翻墙才能链接上被屏蔽的海外网站。自由之家《2019年全球网络自由报告》中,中国连续第四年被评为网络自由垫底的国家。(路透社)
2019年10月20日,第六届世界互联网大会在中国乌镇开幕,与会人士须翻墙才能链接上被屏蔽的海外网站。自由之家《2019年全球网络自由报告》中,中国连续第四年被评为网络自由垫底的国家。(路透社)

问:近日很多国内听众翻墙都遇上难题,特别是当尝试登录TLS 1.3等新技术建立的网站,都无法顺利连接。究竟发生了甚么事?

李建军:出现这种情况,主要是最近中国当局升级了网络防火墙,对使用 TLS 1.3 和 ESNI 等技术建立的加密 HTTPS 连接进行了封锁。原因是,HTTPS传送内容的过程,虽然大部分是加密,但唯独有一个过程不加密,那就是SNI信息。但假如是使用 TLS 1.3 和 ESNI 等现代防拦截协议和技术建立等新技术建立 HTTPS 连接,就能堵截这个漏洞,做到百分百加密。

一般的HTTPS连接因为一部实物主机要同时负责多个不同域名,不经加密的SNI信息就负责告知目标主机,打算要前往的正确域名。中共的防火长城在未升级前,可以根据这个未经加密信息,知道用者的浏览互联网习惯。但TLS 1.3的使用,连告知目标主机这项信息都一并加密,令中共根本无法得知使用者的访问目的地。而有很多翻墙技术,都是在HTTPS同TLS上建立,换言之,中共在这个技术下,根本无法拦截意图翻墙的网民,因为中共的主机,连个别信息包的最终目的地都不清楚。因此,中共就不惜要切断中国与国际主流互联网群体的连接,切断使用 TLS 1.3加密的通讯。

问:据说切断 TLS 1.3的连接,可能造成大陆同国际主流互联网群体切断连接,为甚么后果会如此严重?

李建军:虽然 TLS 1.3技术,在2018年才正式接纳为标准,近一年才为主流浏览器,以及部分翻墙软件做标准,但由于浏览器和翻墙软件都是免费,用户亦习惯更新翻墙软件和浏览器,以免受一些保安漏洞所影响,因此,在2020年,TLS 1.3已经成为业界主流,很多人的浏览器已经预设使用TLS 1.3。因此,中国当局这次对TLS 1.3下手,就造成了很多翻墙用户在浏览海外网站的不便。

问:在现时的形势下,如何克服中国当局切断 TLS 1.3加密通讯的做法?

李建军:由于这次防火墙升级只针对TLS 1.3技术,所以现时最好的做法,其实是不要使用太热门的VPN,反而退回先用 TLS 1.2技术翻墙,因为当你用TLS 1.2的翻墙技术翻墙,中共的系统只会看到你的TLS 1.2的通讯,暂时是可行,只不过,如果防火墙再升级,使用深度检测技术,将所有包含TLS 1.3通讯的连结都切断,这另作别论。随政治局势的变化,中共有可能这样做。

另一个做法,使用一个预设使用 TLS 1.2的浏览器,而翻墙时就使用正常预设 TLS 1.3的浏览器。这视乎你平日的浏览习惯,作出最适当的部署。但如果你主要使用平板电脑,或手机浏览网站,这套未必行得通,因为平板电脑或手机,都不会容许你改变机内TLS的设定。只不过,你的手机或平板电脑如果是旧装置,有可能当中的浏览器版本偏旧,根本不支援TLS 1.3,在TLS 1.2几乎每一个网站都支援的情况下,你暂时可以冒一些因旧版浏览器造成保安风险,使用这些旧版浏览器。当然前提是你浏览的最好是不太敏感的海外网站,否则,在TLS 1.2环境下可能存在的加密漏洞,或许能令当局对你进行辨识。

问:未来会否意味著,中国网民上网会遇上更多麻烦?

李建军:这点是肯定,因为新的网络技术,都以照顾个人私隐做第一优先,所以类似TLS 1.3这类会大大减少加密通讯中的非加密部分新技术,只会越来越多,这些都有助保障用户私隐、突破中国的网络防火长城;而中国政府为了阻止国民接触自由网络世界,一定会作出越来越古怪的安排,中国政府将中国的互联网变成内联网,已经不再是一个笑话。

Edge及Safari用户可直接点击收听
其他浏览器用户请点此下载播放插件

完整网站