Alkoi
Sivuston nimen piilottamisen mahdollistavien salausprotokollien käyttökiellon rikkomisesta ehdotetaan, että Internet-resurssin toiminta keskeytetään viimeistään 1 (yksi) arkipäivän kuluessa siitä, kun tämä rikkomus havaittiin. valtuutettu liittovaltion toimeenpaneva elin. Eston päätarkoitus on TLS-laajennus
Muistetaan, että usean HTTPS-sivuston työn järjestämiseksi yhdellä IP-osoitteella kehitettiin kerralla SNI-laajennus, joka välittää isäntänimen selkeänä tekstinä ennen salatun viestintäkanavan asentamista lähetetyssä ClientHello-viestissä. Tämä ominaisuus mahdollistaa Internet-palveluntarjoajan puolella HTTPS-liikenteen valikoivan suodattamisen ja analysoinnin, mitkä sivustot käyttäjä avaa, mikä ei salli täydellistä luottamuksellisuutta HTTPS:ää käytettäessä.
ECH/ESNI eliminoi täysin tiedon vuotamisen pyydetystä sivustosta analysoitaessa HTTPS-yhteyksiä. Yhdessä sisällönjakeluverkon kautta tapahtuvan käytön kanssa ECH/ESNI:n käyttö mahdollistaa myös pyydetyn resurssin IP-osoitteen piilottamisen palveluntarjoajalta - liikenteentarkistusjärjestelmät näkevät vain CDN:lle osoitetut pyynnöt, eivätkä ne voi soveltaa estoa ilman TLS:n huijausta. istunto, jolloin käyttäjän selaimeen tulee vastaava ilmoitus varmenteen korvaamisesta. Jos ECH/ESNI-kielto otetaan käyttöön, ainoa tapa torjua tätä mahdollisuutta on rajoittaa kokonaan pääsy ECH/ESNI:tä tukeviin sisällönjakeluverkkoihin (CDN), muuten kielto on tehoton ja CDN-verkkojen voi helposti kiertää sen.
Käytettäessä ECH/ESNI:tä isäntänimi, kuten SNI:ssä, lähetetään ClientHello-sanomassa, mutta tässä viestissä lähetettyjen tietojen sisältö on salattu. Salaus käyttää salaisuutta, joka lasketaan palvelimen ja asiakkaan avaimista. Jotta voit purkaa siepatun tai vastaanotetun ECH/ESNI-kentän arvon, sinun on tiedettävä asiakkaan tai palvelimen yksityinen avain (sekä palvelimen tai asiakkaan julkiset avaimet). Tietoa julkisista avaimista välitetään palvelinavaimelle DNS:ssä ja asiakasavaimelle ClientHello-sanomassa. Salauksen purku on mahdollista myös TLS-yhteyden asennuksen yhteydessä sovitun jaetun salaisuuden avulla, jonka tietävät vain asiakas ja palvelin.
Lähde: opennet.ru