Begyndte
For overtrædelse af forbuddet mod brug af krypteringsprotokoller, der gør det muligt at skjule webstedets navn, foreslås det at suspendere driften af internetressourcen senest 1 (en) hverdag fra datoen for opdagelsen af denne krænkelse pr. det autoriserede føderale udøvende organ. Hovedformålet med blokering er TLS-udvidelsen
Lad os huske på, at for at organisere arbejdet på flere HTTPS-websteder på en IP-adresse, blev SNI-udvidelsen udviklet på én gang, som transmitterer værtsnavnet i klartekst i ClientHello-meddelelsen, der blev sendt før installation af en krypteret kommunikationskanal. Denne funktion gør det muligt på internetudbyderens side selektivt at filtrere HTTPS-trafik og analysere, hvilke sider brugeren åbner, hvilket ikke tillader opnåelse af fuldstændig fortrolighed ved brug af HTTPS.
ECH/ESNI eliminerer fuldstændigt lækage af information om det anmodede websted, når der analyseres HTTPS-forbindelser. I kombination med adgang gennem et indholdsleveringsnetværk gør brugen af ECH/ESNI det også muligt at skjule IP-adressen på den anmodede ressource for udbyderen - trafikinspektionssystemer ser kun anmodninger til CDN og kan ikke anvende blokering uden at spoofe TLS session, i hvilket tilfælde brugerens browser en tilsvarende meddelelse om certifikaterstatningen vil blive vist. Hvis et ECH/ESNI-forbud indføres, er den eneste måde at bekæmpe denne mulighed på fuldstændigt at begrænse adgangen til Content Delivery Networks (CDN'er), der understøtter ECH/ESNI, ellers vil forbuddet være ineffektivt og nemt kan omgås af CDN'er.
Ved brug af ECH/ESNI transmitteres værtsnavnet, som i SNI, i ClientHello-meddelelsen, men indholdet af de data, der transmitteres i denne besked, er krypteret. Kryptering bruger en hemmelighed beregnet ud fra server- og klientnøglerne. For at dekryptere en opsnappet eller modtaget ECH/ESNI-feltværdi skal du kende klientens eller serverens private nøgle (plus serverens eller klientens offentlige nøgler). Oplysninger om offentlige nøgler sendes for servernøglen i DNS og for klientnøglen i ClientHello-meddelelsen. Dekryptering er også muligt ved hjælp af en delt hemmelighed, der er aftalt under opsætningen af TLS-forbindelsen, kun kendt af klienten og serveren.
Kilde: opennet.ru