Creo que realmente no entiendes lo que hacen TLS y SNI. SNI es una tecnología que permite que varios servidores web se alojen en la misma IP y escuchen en el mismo puerto, pero utilizan diferentes certificados SSL / TLS para el cifrado. Antes de que SNI, dos servidores web que escuchaban en el mismo puerto tuvieran que compartir el certificado, por ejemplo, tener un proxy inverso que controlara el canal TLS y redirigiera el tráfico al servidor web real
Hasta ahora, hemos pasado por alto la censura al conectarnos con el protocolo https. Pero ahora es inútil. Todos los hombres coreanos consideran esto muy serio.
HTTPS (HTTP con TLS o SSL) no evita la censura, lo que hace es encriptar, y proporciona integridad y autenticación en algunos esquemas, el canal de comunicación, por lo que un adversario que es capaz de ver el tráfico, también conocido como eavesdropper, no es Capaz de saber qué información se está transmitiendo. No tiene ninguna propiedad anti-censura, un atacante que puede cortar el canal de transmisión no sabrá lo que se envió, pero la comunicación se detendrá de todos modos.
Más aún, para el caso particular de HTTPS con SNI, no toda la información está cifrada. El nombre de host al que se está conectando se envía en claro cuando se realiza el protocolo de enlace TLS
Hay formas de hacer cosas como usar proxy, VPN, Tor, pero no creo que sea una solución fundamental. No es una solución fundamental a menos que se actúe en el servidor.
Por lo general, los gobiernos prohíben el acceso a ciertos sitios web a través de DNS. DNS es un protocolo para traducir los nombres de host en direcciones IP a las que se puede conectar una computadora, esto significa que si ha configurado su sistema de resolución de DNS como x.x.x.x, solo puede acceder a esos nombres de host para los que x.x.x.x conoce la IP. En algunos casos, cambiar el sistema de resolución de DNS es suficiente para recuperar el acceso a sitios web prohibidos (algunos de los solucionadores de DNS populares son 8.8.8.8 y 8.8.4.4 de Google o 1.1.1.1 y 1.0.0.1 de Cloudflare). Este escenario sucedió en Siria hace algunos años, donde el DNS de Google se escribió con pintura en las paredes para recuperar el acceso a la información de los medios. Tenga en cuenta que, en este caso, cambiar la resolución de DNS no evitará que un adversario en la red local o en un nodo intermedio sepa que el cliente se está comunicando con el servidor web
En los casos en que no desea que un adversario sepa a qué servidor está conectando una VPN o Tor es obligatorio. Cuando use un VPN o Tor, un adversario en la red local del cliente o en un nodo intermedio hasta que el punto de entrada de Tor sepa que se está conectando a ese nodo de entrada de VPN o Tor, pero no podrá saber nada después de eso . De manera similar, el servidor web y un adversario en su red local sabrán que la conexión proviene de un nodo de salida Tor. Para redes VPN y Tor, se debe tener especial cuidado para evitar fugas de DNS
El uso de proxies puede ser seguro dependiendo del tipo de proxy.
-
Un proxy SOCKS funcionará de manera similar a la red Tor pero con un solo nodo, esto reduce en gran medida la privacidad como adversario que escucha el tráfico entrante y saliente del proxy puede identificar fácilmente qué usuario proxy se está conectando a qué servidor web , esto no es tan simple en Tor como los nodos de entrada y salida son diferentes y no se comunican directamente.
-
Si en su lugar se usa un proxy HTTPS, la conexión se cifra entre el cliente y el proxy utilizando el certificado de proxy, luego se descifra y se vuelve a cifrar usando el certificado del servidor web. Esto significa que el cliente debe confiar en el proxy, ya que puede ver todo el tráfico que lo atraviesa. Además, el navegador del cliente probablemente mostrará advertencias ya que el certificado proxy no será confiable.
Finalmente, usar una VPN, Tor o ambas es la mejor solución. Al contrario de lo que parece, la censura se aplica en el "lado del cliente" de la conexión y no en el servidor web. Lo que no está permitido es que los clientes de ciertos países se conecten al servidor web, el servidor web no puede hacer nada respecto a ese AFAIK