Komencis
Por malobservo de la malpermeso de uzo de ĉifradaj protokoloj, kiuj ebligas kaŝi la retejon-nomon, oni proponas suspendi la funkciadon de la interreta rimedo ne pli malfrue ol 1 (unu) labortago de la dato de malkovro de ĉi tiu malobservo de la rajtigita federacia plenuma organo. La ĉefa celo de blokado estas la TLS-etendo
Ni rememoru, ke por organizi la laboron de pluraj HTTPS-ejoj sur unu IP-adreso, la etendo SNI estis disvolvita samtempe, kiu transdonas la gastigan nomon en klara teksto en la mesaĝo ClientHello transdonita antaŭ ol instali ĉifritan komunikadkanalon. Ĉi tiu funkcio ebligas ĉe la interreta provizanto selekte filtri HTTPS-trafikon kaj analizi kiujn retejojn la uzanto malfermas, kio ne ebligas atingi kompletan konfidencon kiam vi uzas HTTPS.
ECH/ESNI tute forigas la elfluon de informoj pri la petita retejo dum analizado de HTTPS-konektoj. En kombinaĵo kun aliro tra enhavo-livera reto, la uzo de ECH/ESNI ankaŭ ebligas kaŝi la IP-adreson de la petita rimedo de la provizanto - trafikaj inspektadsistemoj vidas nur petojn al la CDN kaj ne povas apliki blokadon sen falsigi la TLS. sesio, en kiu kazo la retumilo de la uzanto aperos responda sciigo pri la atestila anstataŭigo. Se ECH/ESNI-malpermeso estas lanĉita, la nura maniero kontraŭbatali ĉi tiun eblecon estas tute limigi aliron al Enhavaj Liveraj Retoj (CDN) kiuj subtenas ECH/ESNI, alie la malpermeso estos neefika kaj facile povas esti evitita de CDN-oj.
Kiam oni uzas ECH/ESNI, la gastiga nomo, kiel en SNI, estas transdonita en la mesaĝo ClientHello, sed la enhavo de la datumoj transdonitaj en ĉi tiu mesaĝo estas ĉifrita. Ĉifrado uzas sekreton kalkulitan de la servilo kaj kliento ŝlosiloj. Por deĉifri kaptitan aŭ ricevitan ECH/ESNI-kampan valoron, vi devas scii la privatan ŝlosilon de la kliento aŭ servilo (krom la publikaj ŝlosiloj de la servilo aŭ kliento). Informoj pri publikaj ŝlosiloj estas transdonitaj por la servila ŝlosilo en DNS, kaj por la klientoŝlosilo en la mesaĝo ClientHello. Malĉifri ankaŭ eblas uzante komunan sekreton interkonsentitan dum la TLS-konekto-aranĝo, konata nur de la kliento kaj servilo.
fonto: opennet.ru