パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

中国政府、TLS 1.3とESNIを使用するすべての暗号化されたHTTPSトラフィックをブロック中」記事へのコメント

  • by Anonymous Coward

    逆説的に、TLS 1.3 は安全だと言っている気がする。
    TLS 1.2 はもう解読できる、もしくは実用範囲内で解読できるから自由につかっていいよ、と。

    TLS 1.3 への移行を更に急いだほうが良いかもしれないですね。

    • Re:TLS 1.2 はok (スコア:5, 参考になる)

      by 90 (35300) on 2020年08月13日 15時31分 (#3869677) 日記

      TLS 1.3未満のSSL/TLSには、SNIといって宛先ドメイン名を平文で添える仕組みがあるんです。ec2-12-34-56-78.ap-northeast-1-compute.amazonaws.comが*.amazonaws.comの証明書の代わりにsrad.jpの証明書を選んで返すにはそれが一番見栄えが良くて手っ取り早いので。

      で、平文で送信されるということはGFWで見つけて叩き落とせるので、TLS 1.3でESNI(Encrypted SNI)が導入されたわけです。で、平文で送信されないということはGFWで見つけて叩き落とせないわけですね。

      ここで例えばupdate.microsoft.comとgithub.comとtiktok.comが全てESNIを強制していて、全て逆引きで*cloudapp.azure.comとかを返してきて、全てIPが時々入れ替わるようになっていたりすると、GFWの運用上は不都合でしょうね。

      親コメント

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...