Elkezdődött
A webhely nevének elrejtését lehetővé tevő titkosítási protokollok használatára vonatkozó tilalom megsértése esetén javasoljuk az internetes erőforrás működésének felfüggesztését legkésőbb 1 (egy) munkanapon belül a jogsértés felfedezésétől számított a felhatalmazott szövetségi végrehajtó szerv. A letiltás fő célja a TLS bővítmény
Emlékezzünk vissza, hogy több HTTPS oldal egy IP-címen történő munkájának megszervezésére egy időben fejlesztették ki az SNI-bővítményt, amely a titkosított kommunikációs csatorna telepítése előtt küldött ClientHello üzenetben egyértelmű szöveggel továbbítja a gazdagép nevét. Ez a funkció lehetővé teszi az internetszolgáltató oldalán a HTTPS forgalom szelektív szűrését és elemzését, hogy a felhasználó mely oldalakat nyitja meg, ami nem teszi lehetővé a teljes titoktartás elérését HTTPS használatakor.
Az ECH/ESNI teljesen kiküszöböli a kért oldal információinak kiszivárgását a HTTPS-kapcsolatok elemzésekor. A tartalomszolgáltató hálózaton keresztüli hozzáféréssel kombinálva az ECH/ESNI használata lehetővé teszi a kért erőforrás IP-címének elrejtését a szolgáltató elől – a forgalomvizsgáló rendszerek csak a CDN-hez intézett kéréseket látják, és nem alkalmazhatnak blokkolást a TLS meghamisítása nélkül. munkamenetben, ebben az esetben a felhasználó böngészőjében egy megfelelő értesítés jelenik meg a tanúsítványcseréről. Ha bevezetik az ECH/ESNI tilalmat, az egyetlen módja ennek a lehetőségnek az ellen, hogy teljes mértékben korlátozzák a hozzáférést az ECH/ESNI-t támogató tartalomszolgáltató hálózatokhoz (CDN), különben a tilalom hatástalan lesz, és CDN-ekkel könnyen megkerülhető.
Az ECH/ESNI használatakor az SNI-hez hasonlóan a ClientHello üzenetben a gazdagépnév kerül továbbításra, de az üzenetben továbbított adatok tartalma titkosítva van. A titkosítás a szerver és a kliens kulcsaiból kiszámított titkot használ. Az elfogott vagy fogadott ECH/ESNI mezőérték visszafejtéséhez ismernie kell a kliens vagy a szerver privát kulcsát (valamint a szerver vagy az ügyfél nyilvános kulcsait). A nyilvános kulcsokkal kapcsolatos információk a DNS-ben a szerverkulcshoz, a ClientHello üzenetben pedig az ügyfélkulcshoz kerülnek továbbításra. A visszafejtés a TLS-kapcsolat beállítása során elfogadott megosztott titok használatával is lehetséges, amelyet csak a kliens és a kiszolgáló ismer.
Forrás: opennet.ru