От една седмица Китай блокира всички HTTPS връзки, в които се използва TLS 1.3 протокола и TLS разширението ESNI (Encrypted Server Name Indication). Причината за това блокиране е, че при използването на тези нови мрежови технологии става невъзможно проследяването имената на домейните, които посещава или се опитва да посети потребителя, както и филтрирането и контролирането на този трафик.
Блокирането става чрез изхвърляне на мрежови пакети предавани от клиента към сървъра, а не чрез подмяната с пакети с флаг RST, както беше по-рано. А ако бъде открит подобен мрежови пакет с използването на TLS 1.3 и ESNI, то започва тоталното блокиране на всички мрежови пакети на засечения IP адрес в продължение на от 120 до 180 секунди. HTTPS връзките базирани на предишните версии на TLS и TLS 1,3, но без ESNI не се блокират и преминават както преди.
Да си припомним, че за организиране работата на няколко HTTPS сайта на един IP адрес бе разработено приложението SNI, което обаче подава наименованията на хостовете в некриптиран вид чрез ClientHello съобщение, което се изпраща преди да се задейства криптирането на връзката. По този начин интернет провайдърът може да филтрира HTTPS и да анализира кои сайтове посещава потребителя, което не съответства на необходимата конфиденциалност при използването на HTTPS.
Новото TLS разширение, по-рано известно като ESN, може да се използва съвместно с TLS 1.3, премахва този недостатък и изключва каквото и да било изтичане на информация за посещаваните сайтове чрез анализ на HTTPS трафика. А използването на ECH/ESNI скрива от провайдъра и IP адреса на търсената интернет страница. Използваните към днешен ден системи за прослушване и анализ на трафика виждат само CDN заявките и не могат да осъществят блокиране без подмяната на TLS сеанса. Но в този случай браузърът на потребителя показва уведомление, че има подмяна на сертификата. Възможен канал за изтичане на информация е DNS, на за неговото скриване успешно може да се използва технологията DNS-over-HTTPS или DNS-over-TL, която вече се поддържа от всички по-известни браузъри и може по желание да се включи или изключи от потребителя.
Експертите вече предложиха няколко начина за заобикаляне на китайския бан от страна на клиента и на сървъра, но тези методи е възможно скоро да престанат да бъдат актуални и могат да се разглеждат като временна мярка. Така например, към днешен ден се блокират само мрежовите пакети с ESNI идентификатора 0xffce, който означава encrypted_server_nam и се използва в петата версия на черновата на ECH стандарта. Засега се пропускат пакетите с идентификатор 0xff02 (encrypted_client_hello) предложен в седмата версия на черновата на същия стандарт.
Друг, вече надежден вариант за справяне блокирането от страна на Великата китайска защитна стена е използване на нестандартен метод на съгласуване на връзката. Така например, блокирането не действа при изпращането на допълнителен SYN пакет с неверен номер на последователността. Може да се манипулират флаговете за фрагментация на пакетите, изпращане на пакети с едновременно вдигнати FIN и SYN, вмъкване на RST пакети с невярна контролна сума и други подобни. Тези методи са вече реализирани във вид на плъгин за инструментария Geneva, специално разработен за заобикалянето на всички мерки за цензуриране на интернет.