Algas
Saidi nime varjamist võimaldavate krüpteerimisprotokollide kasutamise keelu rikkumise korral tehakse ettepanek peatada Interneti-ressursi töö hiljemalt 1 (ühe) tööpäeva jooksul alates selle rikkumise avastamise kuupäevast. volitatud föderaalne täitevorgan. Blokeerimise peamine eesmärk on TLS-laiendus
Meenutagem, et mitme HTTPS-saidi töö korraldamiseks ühel IP-aadressil töötati korraga välja SNI laiendus, mis edastab enne krüpteeritud sidekanali paigaldamist edastatavas ClientHello sõnumis lahtise tekstina hosti nime. See funktsioon võimaldab Interneti-pakkuja poolel HTTPS-i liiklust valikuliselt filtreerida ja analüüsida, milliseid saite kasutaja avab, mis ei võimalda HTTPS-i kasutamisel täielikku konfidentsiaalsust saavutada.
ECH/ESNI välistab HTTPS-ühenduste analüüsimisel täielikult teabelekke soovitud saidi kohta. Koos juurdepääsuga sisu edastamise võrgu kaudu võimaldab ECH/ESNI kasutamine ka taotletud ressursi IP-aadressi pakkuja eest varjata – liikluskontrollisüsteemid näevad ainult CDN-ile suunatud päringuid ja ei saa rakendada blokeerimist ilma TLS-i võltsimiseta. seanss, mille puhul kuvatakse kasutaja brauseris vastav teade sertifikaadi asendamise kohta. Kui kehtestatakse ECH/ESNI keeld, on ainus viis selle võimaluse vastu võitlemiseks piirata täielikult juurdepääsu ECH/ESNI-d toetavatele sisuedastusvõrkudele (CDN), vastasel juhul on keeld ebaefektiivne ja CDN-ide abil saab sellest kergesti mööda hiilida.
ECH/ESNI kasutamisel edastatakse hostinimi, nagu ka SNI-s, ClientHello sõnumis, kuid selles sõnumis edastatavate andmete sisu on krüpteeritud. Krüptimisel kasutatakse serveri- ja kliendivõtmete põhjal arvutatud saladust. Peatatud või vastuvõetud ECH/ESNI välja väärtuse dekrüpteerimiseks peate teadma kliendi või serveri privaatvõtit (lisaks serveri või kliendi avalikud võtmed). Teave avalike võtmete kohta edastatakse serveri võtme kohta DNS-is ja kliendi võtme kohta ClientHello sõnumis. Dekrüpteerimine on võimalik ka TLS-i ühenduse seadistamisel kokkulepitud jagatud saladuse abil, mida teavad ainult klient ja server.
Allikas: opennet.ru