Hat begonnen
Bei Verstößen gegen das Verbot der Verwendung von Verschlüsselungsprotokollen, die es ermöglichen, den Site-Namen zu verbergen, wird vorgeschlagen, den Betrieb der Internetressource spätestens 1 (einen) Werktag ab dem Datum der Entdeckung dieses Verstoßes auszusetzen das zuständige Bundesorgan. Der Hauptzweck der Blockierung ist die TLS-Erweiterung
Erinnern wir uns daran, dass zur Organisation der Arbeit mehrerer HTTPS-Sites an einer IP-Adresse einst die SNI-Erweiterung entwickelt wurde, die den Hostnamen im Klartext in der ClientHello-Nachricht überträgt, die vor der Installation eines verschlüsselten Kommunikationskanals übertragen wird. Diese Funktion ermöglicht es dem Internetprovider, den HTTPS-Verkehr selektiv zu filtern und zu analysieren, welche Seiten der Benutzer öffnet, was bei der Verwendung von HTTPS keine vollständige Vertraulichkeit ermöglicht.
ECH/ESNI verhindert vollständig den Verlust von Informationen über die angeforderte Site bei der Analyse von HTTPS-Verbindungen. In Kombination mit dem Zugriff über ein Content-Delivery-Netzwerk ermöglicht der Einsatz von ECH/ESNI auch, die IP-Adresse der angeforderten Ressource vor dem Anbieter zu verbergen – Verkehrskontrollsysteme sehen nur Anfragen an das CDN und können keine Blockierung anwenden, ohne das TLS zu fälschen In diesem Fall wird dem Browser des Benutzers eine entsprechende Benachrichtigung über die Zertifikatsersetzung angezeigt. Wenn ein ECH/ESNI-Verbot eingeführt wird, besteht die einzige Möglichkeit, dieser Möglichkeit entgegenzuwirken, darin, den Zugang zu Content Delivery Networks (CDNs), die ECH/ESNI unterstützen, vollständig einzuschränken. Andernfalls ist das Verbot wirkungslos und kann von CDNs leicht umgangen werden.
Bei der Verwendung von ECH/ESNI wird der Hostname wie bei SNI in der ClientHello-Nachricht übertragen, die Inhalte der in dieser Nachricht übertragenen Daten werden jedoch verschlüsselt. Die Verschlüsselung verwendet ein Geheimnis, das aus den Server- und Clientschlüsseln berechnet wird. Um einen abgefangenen oder empfangenen ECH/ESNI-Feldwert zu entschlüsseln, müssen Sie den privaten Schlüssel des Clients oder Servers (sowie die öffentlichen Schlüssel des Servers oder Clients) kennen. Informationen zu öffentlichen Schlüsseln werden für den Serverschlüssel im DNS und für den Clientschlüssel in der ClientHello-Nachricht übermittelt. Die Entschlüsselung ist auch über ein beim TLS-Verbindungsaufbau vereinbartes gemeinsames Geheimnis möglich, das nur Client und Server bekannt ist.
Source: opennet.ru