新的网络安全标准TLS 1.3协议已正式发布,TLS 1.3的运用将会对网络加密带来重大的技术创新,从根本上改变网站和服务商之间执行加密服务的方式。
TLS 1.3协议可减少客户端和服务器之间握手次数,加快网络响应进度;引用强度更大的加密类型和运用新型的身份验证模式。对网络传输加密功能进一步加强,如进一步减少网络传输信息泄露的风险,因为绕过web本身的路由所不需要的所有元数据都会隐藏在加密之后。
但是该隐藏功能的更新,将会对从事互联网审核企业的审核模式带来重大的变化。因为IETF 还在制定加密服务器名称指示(SNI)。(目前尚未确定)
服务器名称指示(SNI)是用在域名前端,用于指示和那些主机名服务端来握手连接。帮助内容交付网络确保全球范围内的快速网络访问,并有助于消除停机时间。
SNI也用于其它用途。它允许经过审查的服务在自动审查系统中“看起来像”未经审查的服务。这些系统将被禁止的网站误认为是允许的,并允许其加载,而不是阻止用户或将其重定向到更安全的站点。
目前,在TLS 1.2协议的SNI是存在漏洞,它允许审查者区分“真”“假”服务器。因此网络第三方审查无法知道客户端访问的真实域名,也就无法屏蔽它们认为非法的网站。但是在TLS 1.3中的SNI通过隐藏加密后服务的所有服务信息可修复这个问题。
这意味着允许 VPN 服务和 Tor等匿名网络可利用 Google、Amazon 或 Microsoft 的服务器绕过审查系统。如果谷歌云,亚马逊网络服务和微软Azure允许使用TLS 1.3进行域名前置,那么像中国这样的审查国家将面临双重选择。他们要么封锁互联网的大片区域(这会引起巨大网民反对),要么让SNI公司运作,这意味着全球审查制度将遭遇严重挫折。
但目前亚马逊网络服务和谷歌云目前不允许域前端,只有Microsoft Azure才可以。这是有问题的,因为它通过允许各大服务器简单地阻止一个云服务而不是大多数互联网来加强审查状态。就会有机会存在异常,而不是强迫他们在自由信息或面对难以置信的内部压力之间做出选择。最大限度地阻止封锁反审查服务所造成的附带损害是劝阻审查国家继续压制信息的最好方法。
Google、Amazon需要重新考虑他们在这个问题上的立场。在自由网络下保持团结对每个人来说都是一个重要的问题,这符合互联网公司和互联网公民的利益。
关于Derek Zimmer
Derek是一位密码专家、安全专家和隐私维权人士。
文章由数安时代GDCA翻译Privacy News Online
文章翻译原文https://www.trustauth.cn/news/security-news/26163.html