Počeo
Za kršenje zabrane korištenja protokola šifriranja koji omogućuju skrivanje naziva web mjesta, predlaže se obustava rada internetskog resursa najkasnije 1 (jedan) radni dan od dana otkrivanja ovog kršenja od strane ovlašteni savezni organ izvršne vlasti. Glavna svrha blokiranja je TLS proširenje
Podsjetimo, kako bi se organizirao rad nekoliko HTTPS stranica na jednoj IP adresi, svojedobno je razvijeno proširenje SNI, koje prenosi ime hosta u jasnom tekstu u poruci ClientHello koja se prenosi prije instaliranja šifriranog komunikacijskog kanala. Ova značajka omogućuje internetskom pružatelju da selektivno filtrira HTTPS promet i analizira koje stranice korisnik otvara, što ne dopušta postizanje potpune povjerljivosti pri korištenju HTTPS-a.
ECH/ESNI u potpunosti eliminira curenje informacija o traženoj stranici prilikom analize HTTPS veza. U kombinaciji s pristupom putem mreže za isporuku sadržaja, korištenje ECH/ESNI također omogućuje skrivanje IP adrese traženog resursa od pružatelja usluga - sustavi za inspekciju prometa vide samo zahtjeve prema CDN-u i ne mogu primijeniti blokiranje bez lažiranja TLS-a sesije, pri čemu će se u pregledniku korisnika prikazati odgovarajuća obavijest o zamjeni certifikata. Ako se uvede zabrana ECH/ESNI, jedini način za borbu protiv te mogućnosti je potpuno ograničiti pristup mrežama za isporuku sadržaja (CDN) koje podržavaju ECH/ESNI, inače će zabrana biti neučinkovita i CDN-ovi je mogu lako zaobići.
Kada koristite ECH/ESNI, ime glavnog računala, kao u SNI, prenosi se u poruci ClientHello, ali sadržaj podataka koji se prenose u ovoj poruci je šifriran. Enkripcija koristi tajnu izračunatu iz ključeva poslužitelja i klijenta. Za dešifriranje presretnute ili primljene vrijednosti ECH/ESNI polja, morate znati privatni ključ klijenta ili poslužitelja (plus javne ključeve poslužitelja ili klijenta). Informacije o javnim ključevima prenose se za ključ poslužitelja u DNS-u, a za ključ klijenta u poruci ClientHello. Dešifriranje je također moguće pomoću zajedničke tajne dogovorene tijekom postavljanja TLS veze, poznate samo klijentu i poslužitelju.
Izvor: opennet.ru