Depuis le 29 juillet dernier, la Chine a mis à jour son grand firewall pour bloquer une très grande partie du trafic HTTPS. Selon un rapport d’organismes (iYouPort, l'Université du Maryland et le Great Firewall Report) contre la censure en Chine, les autorités du pays ont commencé à bloquer l’ESNI (Encrypted Server Name Indication), une fonctionnalité de TLS 1.3 qui sous-tend la communication HTTPS.
Pour mémoire, le protocole TLS (Transport Layer Security) sécurise la communication entre deux applications. Fonctionnant en mode client-serveur, il comprend plusieurs niveaux de sécurisation et notamment l’authentification du serveur (SNI). Ce dernier permet au client de l'utilisateur (un navigateur) d'indiquer au serveur avec quel site web il souhaite communiquer. Inconvénient de cette fonctionnalité, les gouvernements pouvaient empêcher les utilisateurs de communiquer avec certains sites web. Pour remédier à cela, la version 1.3 de TLS a introduit ESNI qui chiffre l’authentification du serveur afin que les intermédiaires ne puissent pas le voir. La censure par les gouvernements est ainsi rendue plus difficile.
Seule solution pour les autorités chinoises, bloquer toutes les connexions TLS vers les serveurs dédiés et non vers des sites web spécifiques. Pour les anciens protocoles TLS, SNI n’étant pas chiffré, la Chine continuera à bloquer directement les sites web.
Commentaire