Пачалося
За парушэнне забароны выкарыстання пратаколаў шыфравання, якія дазваляюць схаваць імя сайта прапануецца прыпыняць функцыянаванне Інтэрнэт-рэсурсу ў тэрмін не пазней за 1 (аднаго) працоўнага дня з дня выяўлення дадзенага парушэння ўпаўнаважаным на тое федэральным органам выканаўчай улады. Асноўнай мэтай блакіроўкі з'яўляецца TLS-пашырэнне
Нагадаем, што для арганізацыі працы на адным IP-адрасе некалькіх HTTPS-сайтаў у свой час было распрацавана пашырэнне SNI, якое ажыццяўляе перадачу імя хаста ў адкрытым выглядзе ў паведамленні ClientHello, які перадаецца да ўстаноўкі шыфраванага канала сувязі. Падобная асаблівасць дае магчымасць на боку інтэрнэт-правайдэра выбарачна фільтраваць HTTPS-трафік і аналізаваць якія сайты адчыняе карыстач, што не дазваляе дамагчыся поўнай канфідэнцыйнасці пры ўжыванні HTTPS.
ECH/ESNI цалкам выключае ўцечку звестак аб запытаным сайце пры аналізе HTTPS-злучэнняў. У спалучэнні са зваротам праз сетку дастаўкі кантэнту ўжыванне ECH/ESNI таксама дае магчымасць схаваць ад правайдэра і IP-адрас запытанага рэсурсу - сістэмы інспектавання трафіку бачаць толькі звароты да CDN і не могуць ужыць блакіроўку без падмены TLS-сеансу, у выпадку якой у браўзэры карыстача будзе паказана адпаведнае апавяшчэнне аб падмене сертыфіката. У выпадку ўвядзення забароны ECH/ESNI для супрацьстаяння падобнай магчымасці можа дапамагчы толькі поўнае абмежаванне доступу да сетак дастаўкі кантэнту (CDN), якія падтрымліваюць ECH/ESNI, інакш блакіроўка будзе неэфектыўнай і зможа лёгка абыходзіцца пры дапамозе CDN.
Пры выкарыстанні ECH/ESNI імя хаста як і ў SNI перадаецца ў паведамленні ClientHello, але змесціва перадаюцца ў дадзеным паведамленні дадзеных зашыфравана. Для шыфравання выкарыстоўваецца сакрэт, вылічаны на аснове ключоў сервера і кліента. Для расшыфроўкі перахопленага ці атрыманага значэння поля ECH/ESNI неабходна ведаць зачынены ключ кліента ці сервера (плюс адчыненыя ключы сервера ці кліента). Інфармацыя аб адкрытых ключах перадаецца для сервернага ключа ў DNS, а для кліенцкага ключа ў паведамленні ClientHello. Расшыфроўка таксама магчымая пры дапамозе ўзгодненага падчас усталёўкі TLS-злучэнні агульнага сакрэту, вядомага толькі кліенту і серверу.
Крыніца: opennet.ru