بدأت
في حالة انتهاك الحظر المفروض على استخدام بروتوكولات التشفير التي تتيح إخفاء اسم الموقع، يُقترح تعليق تشغيل مورد الإنترنت في موعد لا يتجاوز يوم عمل واحد (واحد) من تاريخ اكتشاف هذا الانتهاك بواسطة الهيئة التنفيذية الفيدرالية المعتمدة. الغرض الرئيسي من الحظر هو امتداد TLS
أذكر أنه من أجل تنظيم عمل العديد من مواقع HTTPS على عنوان IP واحد، تم تطوير امتداد SNI في وقت واحد، والذي ينقل اسم المضيف بنص واضح في رسالة ClientHello المرسلة قبل تثبيت قناة اتصال مشفرة. تتيح هذه الميزة من جانب مزود خدمة الإنترنت تصفية حركة مرور HTTPS بشكل انتقائي وتحليل المواقع التي يفتحها المستخدم، مما لا يسمح بتحقيق السرية الكاملة عند استخدام HTTPS.
تعمل ECH/ESNI على منع تسرب المعلومات حول الموقع المطلوب تمامًا عند تحليل اتصالات HTTPS. بالاشتراك مع الوصول من خلال شبكة توصيل المحتوى، فإن استخدام ECH/ESNI يجعل من الممكن أيضًا إخفاء عنوان IP الخاص بالمورد المطلوب من الموفر - ترى أنظمة فحص حركة المرور فقط الطلبات المقدمة إلى CDN ولا يمكنها تطبيق الحظر دون انتحال TLS الجلسة، وفي هذه الحالة سيتم عرض إشعار مناسب في متصفح المستخدم حول استبدال الشهادة. إذا تم فرض حظر على ECH/ESNI، فإن الطريقة الوحيدة لمكافحة هذا الاحتمال هي تقييد الوصول تمامًا إلى شبكات توصيل المحتوى (CDNs) التي تدعم ECH/ESNI، وإلا فسيكون الحظر غير فعال ويمكن التحايل عليه بسهولة بواسطة شبكات CDN.
عند استخدام ECH/ESNI، يتم إرسال اسم المضيف، كما هو الحال في SNI، في رسالة ClientHello، ولكن يتم تشفير محتويات البيانات المرسلة في هذه الرسالة. يستخدم التشفير سرًا محسوبًا من مفاتيح الخادم والعميل. لفك تشفير قيمة حقل ECH/ESNI التي تم اعتراضها أو استلامها، يجب أن تعرف المفتاح الخاص للعميل أو الخادم (بالإضافة إلى المفاتيح العامة للخادم أو العميل). يتم إرسال المعلومات حول المفاتيح العامة لمفتاح الخادم في DNS، ولمفتاح العميل في رسالة ClientHello. يمكن أيضًا فك التشفير باستخدام سر مشترك تم الاتفاق عليه أثناء إعداد اتصال TLS، والمعروف فقط للعميل والخادم.
المصدر: opennet.ru