Սկսվեց
Գաղտնագրման արձանագրությունների օգտագործման արգելքը խախտելու համար, որոնք հնարավորություն են տալիս թաքցնել կայքի անվանումը, առաջարկվում է դադարեցնել ինտերնետային ռեսուրսի գործունեությունը ոչ ուշ, քան 1 (մեկ) աշխատանքային օր՝ այս խախտումը հայտնաբերելու օրվանից մինչև ս.թ. լիազորված դաշնային գործադիր մարմինը. Արգելափակման հիմնական նպատակը TLS ընդլայնումն է
Հիշենք, որ մի քանի HTTPS կայքերի աշխատանքը մեկ IP հասցեով կազմակերպելու համար միանգամից մշակվել է SNI ընդլայնումը, որը հաղորդավարի անունը հստակ տեքստով փոխանցում է ClientHello հաղորդագրության մեջ, որը փոխանցվել է նախքան կոդավորված կապի ալիք տեղադրելը: Այս հատկությունը հնարավորություն է տալիս ինտերնետ մատակարարի կողմից ընտրովի զտել HTTPS տրաֆիկը և վերլուծել, թե որ կայքերն է բացում օգտատերը, ինչը թույլ չի տալիս հասնել ամբողջական գաղտնիության HTTPS-ի օգտագործման ժամանակ:
ECH/ESNI-ն ամբողջությամբ վերացնում է հայցվող կայքի մասին տեղեկատվության արտահոսքը HTTPS կապերը վերլուծելիս: Բովանդակության առաքման ցանցի միջոցով մուտքի հետ միասին, ECH/ESNI-ի օգտագործումը նաև հնարավորություն է տալիս թաքցնել պահանջվող ռեսուրսի IP հասցեն մատակարարից. երթևեկության տեսչական համակարգերը տեսնում են միայն CDN-ի հարցումները և չեն կարող արգելափակել առանց TLS-ի կեղծման: նիստ, որի դեպքում օգտագործողի զննարկիչը կցուցադրվի համապատասխան ծանուցում վկայագրի փոխարինման մասին: Եթե ECH/ESNI արգելք մտցվի, այս հնարավորության դեմ պայքարելու միակ միջոցը ամբողջությամբ սահմանափակելն է բովանդակության առաքման ցանցեր (CDN), որոնք աջակցում են ECH/ESNI-ին, հակառակ դեպքում արգելքն անարդյունավետ կլինի և հեշտությամբ կարող է շրջանցվել CDN-ների կողմից:
ECH/ESNI-ի օգտագործման ժամանակ, ինչպես SNI-ում, հյուրընկալողի անունը փոխանցվում է ClientHello հաղորդագրության մեջ, սակայն այս հաղորդագրության մեջ փոխանցված տվյալների բովանդակությունը կոդավորված է: Կոդավորումը օգտագործում է գաղտնիք, որը հաշվարկվում է սերվերի և հաճախորդի բանալիներից: Գաղտնագրված կամ ստացված ECH/ESNI դաշտի արժեքը վերծանելու համար դուք պետք է իմանաք հաճախորդի կամ սերվերի մասնավոր բանալին (գումարած սերվերի կամ հաճախորդի հանրային բանալիները): Հանրային բանալիների մասին տեղեկատվությունը փոխանցվում է DNS-ում սերվերի բանալիի համար, իսկ ClientHello հաղորդագրության մեջ հաճախորդի բանալիի համար: Ապակոդավորումը հնարավոր է նաև օգտագործելով ընդհանուր գաղտնիքը, որը համաձայնեցվել է TLS կապի կարգավորումների ժամանակ, որը հայտնի է միայն հաճախորդին և սերվերին:
Source: opennet.ru