Začal návrh právního zákona o změnách federálního zákona „o informacích, informačních technologiích a ochraně informací“, vypracovaný Ministerstvem digitálního rozvoje, komunikací a masových komunikací. Zákon navrhuje zavést na území Ruské federace zákaz používání „šifrovacích protokolů, které umožňují skrýt název (identifikátor) internetové stránky nebo webu na internetu, s výjimkou případů stanovených legislativa Ruské federace."
Za porušení zákazu používání šifrovacích protokolů, které umožňují skrýt název webu, se navrhuje pozastavit provoz internetového zdroje nejpozději do 1 (jednoho) pracovního dne ode dne zjištění tohoto porušení do pověřený federální výkonný orgán. Hlavním účelem blokování je rozšíření TLS (dříve známý jako ESNI), který lze použít ve spojení s TLS 1.3 a již v Číně. Vzhledem k tomu, že formulace v návrhu zákona je vágní a neexistuje žádná specifičnost, s výjimkou ECH/ESNI, formálně, téměř všechny protokoly, které poskytují úplné šifrování komunikačního kanálu, stejně jako protokoly (DoH) a (Tečka).
Připomeňme, že za účelem organizace práce několika HTTPS stránek na jedné IP adrese bylo najednou vyvinuto rozšíření SNI, které přenáší název hostitele jako prostý text ve zprávě ClientHello přenášené před instalací šifrovaného komunikačního kanálu. Tato funkce umožňuje na straně poskytovatele internetu selektivně filtrovat HTTPS provoz a analyzovat, které stránky uživatel otevírá, což neumožňuje dosažení úplné důvěrnosti při používání HTTPS.
ECH/ESNI zcela eliminuje únik informací o požadovaném webu při analýze připojení HTTPS. V kombinaci s přístupem prostřednictvím sítě pro doručování obsahu umožňuje použití ECH/ESNI také skrýt IP adresu požadovaného zdroje před poskytovatelem - systémy kontroly provozu vidí pouze požadavky na CDN a nemohou použít blokování bez podvržení TLS session, v takovém případě se v prohlížeči uživatele zobrazí odpovídající upozornění o nahrazení certifikátu. Pokud bude zaveden zákaz ECH/ESNI, jediným způsobem, jak proti této možnosti bojovat, je úplné omezení přístupu k sítím pro doručování obsahu (CDN), které podporují ECH/ESNI, jinak bude zákaz neúčinný a sítě CDN jej mohou snadno obejít.
Při použití ECH/ESNI je název hostitele, stejně jako u SNI, přenášen ve zprávě ClientHello, ale obsah dat přenášených v této zprávě je šifrován. Šifrování používá tajný klíč vypočítaný z klíčů serveru a klienta. Chcete-li dešifrovat zachycenou nebo přijatou hodnotu pole ECH/ESNI, musíte znát soukromý klíč klienta nebo serveru (plus veřejné klíče serveru nebo klienta). Informace o veřejných klíčích jsou přenášeny pro klíč serveru v DNS a pro klíč klienta ve zprávě ClientHello. Dešifrování je také možné pomocí sdíleného tajného klíče dohodnutého během nastavení připojení TLS, který zná pouze klient a server.
Zdroj: opennet.ru