image

China blokkeert https-verkeer dat gebruikmaakt van TLS 1.3 en ESNI

maandag 10 augustus 2020, 13:38 door Redactie, 8 reacties
Laatst bijgewerkt: 10-08-2020, 15:10

China blokkeert al het https-verkeer dat gebruikmaakt van TLS 1.3 en ESNI, zo stellen onderzoekers van de Universiteit van Maryland, Great Firewall Report en het Chinese iYouPort. Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers.

Vanwege de versleuteling is het voor bijvoorbeeld een internetprovider niet mogelijk om te zien welke pagina's erop een webserver worden bezocht. De provider ziet echter wel welke website de gebruiker bezoekt. Server Name Indication (SNI) is een extensie van TLS, waarbij de client aan het begin van het opzetten van de beveiligde verbinding laat weten welke host hij probeert te bezoeken.

Dit zorgt ervoor dat een server meerdere https-sites op hetzelfde adres kan hosten, zonder dat al die websites hetzelfde certificaat gebruiken. De client geeft namelijk aan welke website hij wil bezoeken. Zonder SNI zou de server niet weten welk certificaat hij aan de client moet aanbieden. Een probleem is dat bijvoorbeeld een internetprovider het onversleutelde bericht met daarin de SNI kan onderscheppen en zo kan zien welke website de gebruiker wil bezoeken.

Partijen die internetverkeer willen censureren maken hiervan gebruik om bepaalde websites te blokkeren. Onder andere China zou op deze manier https-verkeer censureren, zo stellen de onderzoekers. Een uitbreiding van TLS 1.3 genaamd encrypted Server Name Indication (ESNI) voorkomt dat een provider kan zien welke website de gebruiker wil bezoeken.

De server publiceert hiervoor een public key in een dns-record, die voor het opzetten van de verbinding door de client wordt opgehaald. De client vervangt de SNI-extensie met een encrypted SNI-extensie. Dit is het originele veld, alleen dan versleuteld met een symmetrische sleutel afgeleid van de eerder opgehaalde public key van de server. De server, die de private key bezit, kan de symmetrische encryptiesleutel afleiden, en zo de encrypted SNI-extensie ontsleutelen. Aangezien alleen de client en de server waar verbinding mee wordt gemaakt de encryptiesleutel kunnen afleiden, is de encrypted SNI niet door derde partijen te ontsleutelen of benaderen, zo stelt Cloudflare in een uitleg van de feature.

Voor partijen die internetverkeer willen censureren is ESNI een probleem, aangezien ze niet meer zien met welke website de gebruiker verbinding maakt. De enige optie is dan ook alle TLS-verbindingen naar bepaalde servers te blokkeren. Iets wat nu in China gebeurt, aldus de onderzoekers. TLS 1.3-verkeer met ESNI wordt actief door de grote Chinese firewall geblokkeerd.

De onderzoekers merken op dat de blokkade op verschillende manieren is te omzeilen, maar dat het hier niet om langetermijnoplossingen gaat, aangezien er sprake is van een kat-en-muisspel en de Chinese overheid de firewall zeer waarschijnlijk zal aanpassen om de censuurmogelijkheden te verbeteren.

Image

Reacties (8)
10-08-2020, 14:34 door Anoniem
Om te testen of je via de browser secure DNS, DNSSEC en TLS 1.3 en Encrypted SNI gebruikt kun je de browser firefox via about:config aanpassen. Daarna ga je naar de website van Cloudflare om dit te testen.

Let op: deze instructie hieronder doe je wel op eigen risico.

Om Secure DNS (DoH) te krijgen in Firefox:
Zet network.trr.mode op 2

Zet network.trr.uri naar je DoH server. Voor Cloudflare is dat: https://mozilla.cloudflare-dns.com/dns-query

Om Encrypted SNI te krijgen in Firefox:
Zet network.security.esni.enabled op true

TLS versie staat standaard aan op max 4 en minimum versie 3.
Dus daar hoef je niets te veranderen.

Voor DNSSEC verwijs ik naar de provider. Er bestond nog wel een add-on om DNSSEC te verkrijgen via Firefox, maar de extensie wordt volgens de website van de ontwerpers niet meer uitgegeven en/of onderhouden. Dus die valt af.

Bij de test moet je naar https://www.cloudflare.com/ssl/encrypted-sni/ gaan en op de oranje knop klikken “Check My Browser”. Even later zie je het resultaat.

Als alle vinkjes groen staan, dan browse je zo verleuteld mogelijk.
10-08-2020, 16:36 door Anoniem
Nee dank je, mijn hostfile werkt dan niet meer.
DoH negeert je hostfile en als je heel veel websites erin hebt staan die geblokkeerd worden (fake sites, hacking sites, reklame sites etc etc) dan kun je beter geen DoH gebruiken.
Daarbij is CloudFlare ook niet helemaal te vertrouwen, ze willen het liefst dat al het Internet verkeer via hun verloopt zodat ze lekker kunnen aftappen.

bedankt in ieder geval voor de uitleg.
10-08-2020, 17:23 door Anoniem
Door Anoniem: Zet network.trr.uri naar je DoH server. Voor Cloudflare is dat: https://mozilla.cloudflare-dns.com/dns-query
Goed bedoeld, maar als er iets privacy onvriendelijk is, dan is het wel je complete internetgeschiedenis naar een Amerikaans bedrijf versturen. Bovendien klopt er ook niks van de test bij Cloudflare, je krijgt alleen een groen 'secure DNS' vinkje als je hun eigen servers gebruikt. Wat als je iets anders zou doen, dan zal het wel allemaal verkeerd zijn!

Voor DNSSEC verwijs ik naar de provider.
Het mooie van DNSSEC is dat je juist niet afhankelijk hoeft te zijn van je provider. Gewoon op je eigen apparatuur alles verifiëren is ook mogelijk. Het hele idee dat je DNSSEC validatie kunt outsourcen is marketing praat van bedrijven die maar graag al je DNS query's willen ontvangen. Je laat de logica voor het valideren van HTTPS certificaten toch ook niet over aan je buurman, omdat die zegt dat hij daar toevallig wel wat verstand van heeft en het voor jou veeelste moeilijk zou zijn?
10-08-2020, 18:11 door Anoniem
Security dot nl schijnt bereikbaar in heel Mainland China:
Beijing - ja
Shenzhen - ja
Inner Mongolia - ja
Heilongjiang Province - ja
Yunnan Province - ja
This URL appears to be accessible from mainland China.hina:
https://www.comparitech.com/privacy-security-tools/blockedinchina/

Ze weten er nu dus van,

luntrus
10-08-2020, 19:01 door Anoniem
Het mooie van DNSSEC is dat je juist niet afhankelijk hoeft te zijn van je provider. Gewoon op je eigen apparatuur alles verifiëren is ook mogelijk. Het hele idee dat je DNSSEC validatie kunt outsourcen is marketing praat van bedrijven die maar graag al je DNS query's willen ontvangen. Je laat de logica voor het valideren van HTTPS certificaten toch ook niet over aan je buurman, omdat die zegt dat hij daar toevallig wel wat verstand van heeft en het voor jou veeelste moeilijk zou zijn?
Ik heb nergens gezegd dat DNSSEC afhankelijk is van je provider. Ik verwees er alleen naar.
Bovendien kun je ook een andere URL gebruiken voor een DoH-server. Dat is gewoon in Firefox in te stellen met about:config.
10-08-2020, 19:09 door Anoniem
Door Anoniem:
Het mooie van DNSSEC is dat je juist niet afhankelijk hoeft te zijn van je provider. Gewoon op je eigen apparatuur alles verifiëren is ook mogelijk.
Je bent er nog wel afhankelijk van dat je provider dat support, dwz dat je DNS resolvers dat aankunnen.
Als je zelf alles via de root servers gaat resolven ipv via de resolver van je provider dan maak je je privacy juist veel slechter!
11-08-2020, 01:23 door Anoniem
Door Anoniem: Security dot nl schijnt bereikbaar in heel Mainland China:
Beijing - ja
Shenzhen - ja
Inner Mongolia - ja
Heilongjiang Province - ja
Yunnan Province - ja
This URL appears to be accessible from mainland China.hina:
https://www.comparitech.com/privacy-security-tools/blockedinchina/

Ze weten er nu dus van,

luntrus

Security.nl heeft ook geen ondersteuning voor Encrypted SNI volgens mij.
11-08-2020, 09:44 door Anoniem
Door Anoniem: Ik heb nergens gezegd dat DNSSEC afhankelijk is van je provider. Ik verwees er alleen naar.
Bovendien kun je ook een andere URL gebruiken voor een DoH-server. Dat is gewoon in Firefox in te stellen met about:config.
Daar heb je helemaal gelijk in. Zelf hoop ik dat Firefox nog ondersteuning gaat bieden voor een automatische upgrade van 'normale' DNS naar DoH. Dan kan ik met mijn eigen Unbound resolver daar op termijn ook gebruik van kan gaan maken. Met het handcoden van een DoH server ben je namelijk altijd aangezen op een partij die overal op het internet bereikbaar is (a.k.a een publieke resolver). Het versturen van je DNS queries naar een server buiten het netwerk van je eigen internet provider draagt niet bij aan de beschikbaarheid en robuustheid van je internetverbinding. Immers zijn er dan twee zwakke schakels, in plaats van een.

Door Anoniem: Je bent er nog wel afhankelijk van dat je provider dat support, dwz dat je DNS resolvers dat aankunnen. Als je zelf alles via de root servers gaat resolven ipv via de resolver van je provider dan maak je je privacy juist veel slechter!
Ook als je internet provider de DNSSEC handtekeningen niet valideert op zijn eigen DNS servers, kan jou eigen (stub/forwarding) resolver dat nog wel doen. Belangrijk is wel dat ze niet de DNS antwoorden aanpassen, anders lukt de validatie niet meer. Dat is wat mijn provider effectief deed toen ze alles via OpenDNS lieten lopen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.