<div dir="ltr"><div dir="ltr"><div>Hello all,</div><div><br></div><div>I have some confusion regarding the characterization of Tor traffic using DPI.</div><div> I was following the link (<a href="https://trac.torproject.org/projects/tor/wiki/org/projects/Tor/TLSHistory">https://trac.torproject.org/projects/tor/wiki/org/projects/Tor/TLSHistory</a> ) and understood that Tor did TLS renogotiation at some point and then discontinued doing it. <br></div><div>As an improvement there are basically two handshakes that are done.</div><div>(i) "outer handshake" which is made to look as real as possible.</div><div>(ii) "inner handshake" which is actually used to authenticate and exchange "real" certificates.</div><div><br></div><div>I am just not able to understand as to why we need two handshakes, also why do we need "real" and "fake" certificates.</div><div>Or if i am missing something, can someone point me to the right resources where i can get the current tor TLS implementation details.<br></div><div><br></div><div><br></div><div><div dir="ltr" class="gmail-m_5127729804692137953gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div>Regards<br><br></div>Piyush<br></div><div>PhD CSE<br></div><div>IIITD <br></div></div></div></div></div></div></div></div></div>