中国がTLS 1.3とESNIを使用するHTTPSトラフィックをブロック

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2020-08-11 12:54

 中国政府は、国内の通信を検閲するシステムである「グレートファイアウォール」(GFW)をアップデートし、通信のインターセプト(傍受、妨害)を防止する最新のセキュリティプロトコルを使ったHTTPS接続をブロックし始めた。

china

 中国の検閲状況を調査している3つの組織(iYouPortメリーランド大学Great Firewall Report)が米国時間8月7日に発表した共同レポートによれば、この状況は7月末から始まっているという。

中国政府はHTTPS+TLS 1.3+ESNIの接続をブロック

 GFWのアップデートで新たに標的になったのは、「TLS 1.3」や「ESNI」(Encrypted Server Name Indication)などの新しい技術を使用したHTTPS接続だけだ。

 同じプロトコルの古いバージョン(TLS 1.1や1.2、SNIなど)を使用したHTTPSトラフィックは、現在もGFWを通過できる。

 これらの古いプロトコルを使用しているHTTPS接続の場合、中国の検閲当局はユーザーが接続しようとしているドメインを推測することができる。これは、HTTPS接続の早い段階で交換される(平文の)SNIフィールドを調べられるためだ。

 しかし、TLS 1.3でセットアップされたHTTPS接続では、SNIを暗号化する技術であるESNIを使用しているため、SNIフィールドを見ることができない。TLS 1.3の利用がウェブ全体で増え続けていることは、中国の検閲当局の頭痛の種になっている。これは、HTTPSのトラフィックをフィルタリングし、中国国民がアクセスできるコンテンツをコントロールするのが難しくなるためだ。

TLS 1.3の利用の伸びを表すグラフ
提供:Qualys SSL Labs(SixGenが発表)

 共同レポートによれば、中国政府は現在、TLS 1.3とESNIを使用した全てのHTTPSトラフィックをブロックしており、それらの接続に使用されたIPアドレス間のほかのトラフィックも、2~3分の短いインターバルでブロックされている。

現時点ではいくつかの迂回手段が存在

 同レポートによれば、今はまだGFWに導入された現在のブロック手段を迂回する方法が残っており、クライアント側で(アプリケーションやソフトウェアの内部で)利用できるものが6つ、サーバー側で(サーバーやアプリケーションのバックエンドで)利用できるものが4つ見つかっているという。

 ただし3組織は「残念ながらこれらの個々の迂回手段は長期的な解決にはならないかもしれない。これはいたちごっこが続くに従って、今後もグレートファイアウォールの検閲機能が強化されていく可能性が高いためだ」と述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]