China blokkeert veilig HTTPS-verkeer

Wie rekent op Chinese bezoekers voor zijn of haar website, mag de HTTPS-verbinding niet te veilig maken. China’s Grote Firewall blokkeert voortaan immers het modernste HTTPS-verkeer.

HTTPS-verkeer met TLS 1.3 en ESNI raakt niet meer door de Grote Firewall. Dat betekent dat Chinese bezoekers geen websites meer kunnen bezoeken die van de moderne beveiligde verbindingsstandaard gebruik maken. Andersom mogen Chinese websites de beveiliging evenmin toepassen.

TLS en ESNI

De motivatie achter het verbod is puur censuur. ESNI staat voor Encrypted Server Name Indication. Het is een verbetering van klassieke SNI. SNI is onderdeel van de Transport Layer Security (TLS)-handshake wanneer een client met een server wil verbinden. TLS versleutelt het verkeer, maar zonder ESNI kan een externe partij verkeer nog wel analyseren en deduceren met welke website iemand wil verbinden. Dat komt omdat SNI het domein in kwestie als platte en dus leesbare tekst bevat.

Met ESNI wordt dat domein ook versleuteld, zoals de naam suggereert. De combinatie van TSL 1.3 en ESNI zorgt ervoor dat het HTTPS-protocol volledig privacyvriendelijk wordt, en een externe partij vrijwel niets te weten komt over de websites die iemand wil bezoeken.

Verbindingen geblokkeerd

Dat heeft implicaties voor de doeltreffendheid van China’s Grote Firewall. Als die niet weet met welk domein een gebruiker wil verbinden, dan kan het niet succesvol censureren. De oplossing is allesbehalve subtiel: HTTPS-verbindingen die de nieuwste standaarden gebruiken, worden allemaal geblokkeerd. De IP-adressen waarvan de verbindingsaanvraag afkomstig is, komen bovendien voor enkele minuten op een zwarte lijst te staan.

Lees ook: Waarom Mozilla’s ‘DNS over HTTPS’ geen slechte zaak is

De beperking is belangrijk voor Belgische bedrijven die zakendoen in China. Om je website toegankelijk te houden, mag je immers geen HTTPS-verbinding met TSL 1.3 en ESNI implementeren. Verkeer van China naar je website wordt zo immers tegengehouden aan de firewallpoort. TSL 1.3 is sinds zijn lancering aan een stijle opmars bezig en beveiligt nu al de verbindingen van meer dan 30 procent van de grootste websites in de wereld. Het is de vraag hoe groot de impact van China zal zijn op het protocol en de implementatie ervan in de toekomst.