新的網絡安全標準TLS 1.3協議已正式發佈,TLS 1.3的運用將會對網絡加密帶來重大的技術創新,從根本上改變網站和服務商之間執行加密服務的方式。
TLS 1.3協議可減少客戶端和服務器之間握手次數,加快網絡響應進度;引用強度更大的加密類型和運用新型的身份驗證模式。對網絡傳輸加密功能進一步加強,如進一步減少網絡傳輸信息洩露的風險,因為繞過web本身的路由所不需要的所有元數據都會隱藏在加密之後。
但是該隱藏功能的更新,將會對從事互聯網審核企業的審核模式帶來重大的變化。因為IETF 還在制定加密服務器名稱指示(SNI)。(目前尚未確定)
服務器名稱指示(SNI)是用在域名前端,用於指示和那些主機名服務端來握手連接。幫助內容交付網絡確保全球範圍內的快速網絡訪問,並有助於消除停機時間。
SNI也用於其它用途。它允許經過審查的服務在自動審查系統中“看起來像”未經審查的服務。這些系統將被禁止的網站誤認為是允許的,並允許其加載,而不是阻止用戶或將其重定向到更安全的站點。
目前,在TLS 1.2協議的SNI是存在漏洞,它允許審查者區分“真”“假”服務器。因此網絡第三方審查無法知道客戶端訪問的真實域名,也就無法屏蔽它們認為非法的網站。但是在TLS 1.3中的SNI通過隱藏加密後服務的所有服務信息可修復這個問題。
這意味著允許 VPN 服務和 Tor等匿名網絡可利用 Google、Amazon 或 Microsoft 的服務器繞過審查系統。如果谷歌雲,亞馬遜網絡服務和微軟Azure允許使用TLS 1.3進行域名前置,那麼像中國這樣的審查國家將面臨雙重選擇。他們要麼封鎖互聯網的大片區域(這會引起巨大網民反對),要麼讓SNI公司運作,這意味著全球審查制度將遭遇嚴重挫折。
但目前亞馬遜網絡服務和谷歌雲目前不允許域前端,只有Microsoft Azure才可以。這是有問題的,因為它通過允許各大服務器簡單地阻止一個雲服務而不是大多數互聯網來加強審查狀態。就會有機會存在異常,而不是強迫他們在自由信息或面對難以置信的內部壓力之間做出選擇。最大限度地阻止封鎖反審查服務所造成的附帶損害是勸阻審查國家繼續壓制信息的最好方法。
Google、Amazon需要重新考慮他們在這個問題上的立場。在自由網絡下保持團結對每個人來說都是一個重要的問題,這符合互聯網公司和互聯網公民的利益。
關於Derek Zimmer
Derek是一位密碼專家、安全專家和隱私維權人士。
文章由數安時代GDCA翻譯Privacy News Online
文章翻譯原文https://www.trustauth.cn/news/security-news/26163.html
閱讀更多 GDCA數安時代 的文章
