آغاز شد
برای نقض ممنوعیت استفاده از پروتکل های رمزگذاری که امکان پنهان کردن نام سایت را فراهم می کند، پیشنهاد می شود عملیات منبع اینترنتی حداکثر تا 1 (یک) روز کاری از تاریخ کشف این تخلف توسط نهاد اجرایی مجاز فدرال هدف اصلی مسدود کردن پسوند TLS است
به یاد بیاوریم که برای سازماندهی کار چندین سایت HTTPS در یک آدرس IP، پسوند SNI در یک زمان توسعه داده شد که نام میزبان را به صورت متنی واضح در پیام ClientHello ارسال شده قبل از نصب یک کانال ارتباطی رمزگذاری شده منتقل می کند. این ویژگی امکان فیلتر کردن انتخابی ترافیک HTTPS و تجزیه و تحلیل سایتهایی را که کاربر باز میکند، از طرف ارائهدهنده اینترنت ممکن میشود، که امکان دستیابی به محرمانه بودن کامل در هنگام استفاده از HTTPS را فراهم نمیکند.
ECH/ESNI به طور کامل نشت اطلاعات مربوط به سایت درخواستی را هنگام تجزیه و تحلیل اتصالات HTTPS حذف می کند. در ترکیب با دسترسی از طریق یک شبکه تحویل محتوا، استفاده از ECH/ESNI همچنین امکان مخفی کردن آدرس IP منبع درخواستی از ارائهدهنده را فراهم میکند - سیستمهای بازرسی ترافیک فقط درخواستهای CDN را میبینند و نمیتوانند بدون جعل TLS مسدودسازی را اعمال کنند. جلسه، در این صورت مرورگر کاربر اعلان مربوطه در مورد تعویض گواهی نمایش داده می شود. اگر ممنوعیت ECH/ESNI معرفی شود، تنها راه مبارزه با این امکان، محدود کردن کامل دسترسی به شبکههای تحویل محتوا (CDN) است که از ECH/ESNI پشتیبانی میکنند، در غیر این صورت این ممنوعیت بیاثر خواهد بود و به راحتی میتوان توسط CDNها دور زد.
هنگام استفاده از ECH/ESNI، نام میزبان، مانند SNI، در پیام ClientHello ارسال می شود، اما محتوای داده های ارسال شده در این پیام رمزگذاری شده است. رمزگذاری از یک رمز محاسبه شده از کلیدهای سرور و کلاینت استفاده می کند. برای رمزگشایی مقدار فیلد ECH/ESNI رهگیری یا دریافت شده، باید کلید خصوصی مشتری یا سرور (به علاوه کلیدهای عمومی سرور یا کلاینت) را بدانید. اطلاعات مربوط به کلیدهای عمومی برای کلید سرور در DNS و برای کلید مشتری در پیام ClientHello منتقل می شود. رمزگشایی همچنین با استفاده از یک راز مشترک توافق شده در طول راه اندازی اتصال TLS که فقط برای مشتری و سرور شناخته شده است امکان پذیر است.
منبع: opennet.ru