中國開始擋 ESNI 了...

這兩天陸陸續續都有一些新聞出來了，中國已經開始擋 ESNI 了：「China is now blocking all encrypted HTTPS traffic that uses TLS 1.3 and ESNI」。

ESNI (Encrypted SNI) 的重點就是在於把 TLS 裡 ClientHello 的 hostname 部分加密 (通常會需要配合 DNS-over-HTTPS 或是 DNS-over-TLS 的方式取得 key 相關的資料)，這個 hostname 的部分是目前 TLS 連線裡少數可以被看到的明文，也因此對於 GFW 過濾資料很有用，而 ESNI 等於是把這個洞補上，這次直接擋掉應該是預料中的事情...

但就算不管中國的部分，ESNI 對於 priavcy 的幫助還是很大，基本上 ISP 只剩下 IP 資訊可以分析，如果是有 CDN 之類的服務在前面擋住的就更看不出來了 (i.e. 許多網站用同一個 IP address)。