Chinas Zensoren wollen wissen, was die Chinesen im Internet tun. Zeitgemäße HTTPS-Verbindungen verhindern das aber. Nun werden sie einfach blockiert.

Chinas „Große Firewall“ blockiert nun Verbindungen, die mit dem Verschlüsselungsprotokoll TLS in der aktuellen Version 1.3 geschützt werden. Das haben Forscher ermittelt, die kontinuierlich Chinas Internetzensur analysieren.

Betroffen ist demnach nur HTTPS-Traffic, der per Encrypted Server Name Indication (ESNI) geschützt wird. Chinas Zensoren können bei diesem nicht mehr erkennen, welche Server kontaktiert werden.

TLS 1.3 ist die aktuelle Version des Verschlüsselungsprotokolls TLS (Transport Layer Security), dem Nachfolger von SSL (Secure Sockets Layer). Entwickelt worden war sie – auch gegen Widerstände – als Konsequenz der Snowden-Enthüllungen mit dem Fokus auf Verschlüsselung so vieler Metadaten der Kommunikation wie möglich. Wenn per ESNI auch der Server-Name verschlüsselt wird, kann durch einen Blick auf den Traffic – etwa durch Chinas Internetzensoren – nicht mehr ermittelt werden, wer überhaupt kontaktiert wird. Bei der Absicherung von HTTPS-Verbindungen gewinnt TLS 1.3 aktuell zunehmend an Verbreitung.

Wie die Analysen der Großen Firewall nun nahelegen, will Chinas Führung diesen blinden Fleck nicht akzeptieren. Bei Verbindungen, bei denen TLS 1.3 und ESNI zum Einsatz kommt, lässt die Firewall Pakete fallen und blockiert so die Verbindungsaufnahme. Das erfolgt demnach in beide Richtungen, sowohl bei Verbindungen aus dem Ausland zu chinesischen Servern als auch aus China zu ausländischen Servern. Ist eine solche Verbindung blockiert, werden alle weiteren Kontaktaufnahmen der Sender-IP zur selben Empfänger-IP und dem Empfänger-Port für zwei oder drei Minuten unterbunden.