Begyndte et udkast til lov om ændringer af den føderale lov "om information, informationsteknologi og informationsbeskyttelse", udviklet af ministeriet for digital udvikling, kommunikation og massekommunikation. Loven foreslår at indføre et forbud mod brug på Den Russiske Føderations område af "krypteringsprotokoller, der gør det muligt at skjule navnet (identifikator) på en internetside eller et websted på internettet, undtagen i tilfælde, der er etableret af lovgivning i Den Russiske Føderation."
For overtrædelse af forbuddet mod brug af krypteringsprotokoller, der gør det muligt at skjule webstedets navn, foreslås det at suspendere driften af internetressourcen senest 1 (en) hverdag fra datoen for opdagelsen af denne krænkelse pr. det autoriserede føderale udøvende organ. Hovedformålet med blokering er TLS-udvidelsen (tidligere kendt som ESNI), som kan bruges i forbindelse med TLS 1.3 og allerede i Kina. Da ordlyden i lovforslaget er vag, og der ikke er nogen specificitet, bortset fra ECH/ESNI, formelt set næsten alle protokoller, der giver fuld kryptering af kommunikationskanalen, samt protokoller (DoH) og (DoT).
Lad os huske på, at for at organisere arbejdet på flere HTTPS-websteder på en IP-adresse, blev SNI-udvidelsen udviklet på én gang, som transmitterer værtsnavnet i klartekst i ClientHello-meddelelsen, der blev sendt før installation af en krypteret kommunikationskanal. Denne funktion gør det muligt på internetudbyderens side selektivt at filtrere HTTPS-trafik og analysere, hvilke sider brugeren åbner, hvilket ikke tillader opnåelse af fuldstændig fortrolighed ved brug af HTTPS.
ECH/ESNI eliminerer fuldstændigt lækage af information om det anmodede websted, når der analyseres HTTPS-forbindelser. I kombination med adgang gennem et indholdsleveringsnetværk gør brugen af ECH/ESNI det også muligt at skjule IP-adressen på den anmodede ressource for udbyderen - trafikinspektionssystemer ser kun anmodninger til CDN og kan ikke anvende blokering uden at spoofe TLS session, i hvilket tilfælde brugerens browser en tilsvarende meddelelse om certifikaterstatningen vil blive vist. Hvis et ECH/ESNI-forbud indføres, er den eneste måde at bekæmpe denne mulighed på fuldstændigt at begrænse adgangen til Content Delivery Networks (CDN'er), der understøtter ECH/ESNI, ellers vil forbuddet være ineffektivt og nemt kan omgås af CDN'er.
Ved brug af ECH/ESNI transmitteres værtsnavnet, som i SNI, i ClientHello-meddelelsen, men indholdet af de data, der transmitteres i denne besked, er krypteret. Kryptering bruger en hemmelighed beregnet ud fra server- og klientnøglerne. For at dekryptere en opsnappet eller modtaget ECH/ESNI-feltværdi skal du kende klientens eller serverens private nøgle (plus serverens eller klientens offentlige nøgler). Oplysninger om offentlige nøgler sendes for servernøglen i DNS og for klientnøglen i ClientHello-meddelelsen. Dekryptering er også muligt ved hjælp af en delt hemmelighed, der er aftalt under opsætningen af TLS-forbindelsen, kun kendt af klienten og serveren.
Kilde: opennet.ru