Dimulai
Untuk pelanggaran larangan penggunaan protokol enkripsi yang memungkinkan untuk menyembunyikan nama situs, diusulkan untuk menangguhkan pengoperasian sumber daya Internet selambat-lambatnya 1 (satu) hari kerja sejak tanggal ditemukannya pelanggaran tersebut oleh badan eksekutif federal yang berwenang. Tujuan utama pemblokiran adalah ekstensi TLS
Ingatlah bahwa untuk mengatur pekerjaan beberapa situs HTTPS pada satu alamat IP, ekstensi SNI dikembangkan sekaligus, yang mentransmisikan nama host dalam teks yang jelas dalam pesan ClientHello yang dikirimkan sebelum memasang saluran komunikasi terenkripsi. Fitur ini memungkinkan pihak penyedia Internet untuk memfilter lalu lintas HTTPS secara selektif dan menganalisis situs mana yang dibuka pengguna, yang tidak memungkinkan tercapainya kerahasiaan penuh saat menggunakan HTTPS.
ECH/ESNI sepenuhnya menghilangkan kebocoran informasi tentang situs yang diminta saat menganalisis koneksi HTTPS. Dikombinasikan dengan akses melalui jaringan pengiriman konten, penggunaan ECH/ESNI juga memungkinkan untuk menyembunyikan alamat IP sumber daya yang diminta dari penyedia - sistem pemeriksaan lalu lintas hanya melihat permintaan ke CDN dan tidak dapat menerapkan pemblokiran tanpa memalsukan TLS sesi, dalam hal ini browser pengguna akan menampilkan pemberitahuan terkait tentang penggantian sertifikat. Jika pelarangan ECH/ESNI diberlakukan, satu-satunya cara untuk mengatasi kemungkinan ini adalah dengan membatasi sepenuhnya akses ke Jaringan Pengiriman Konten (CDN) yang mendukung ECH/ESNI, jika tidak, pelarangan tersebut tidak akan efektif dan dapat dengan mudah diakali oleh CDN.
Saat menggunakan ECH/ESNI, nama host, seperti di SNI, dikirimkan dalam pesan ClientHello, namun konten data yang dikirimkan dalam pesan ini dienkripsi. Enkripsi menggunakan rahasia yang dihitung dari server dan kunci klien. Untuk mendekripsi nilai bidang ECH/ESNI yang dicegat atau diterima, Anda harus mengetahui kunci pribadi klien atau server (ditambah kunci publik server atau klien). Informasi tentang kunci publik dikirimkan untuk kunci server di DNS, dan untuk kunci klien dalam pesan ClientHello. Dekripsi juga dimungkinkan menggunakan rahasia bersama yang disepakati selama pengaturan koneksi TLS, yang hanya diketahui oleh klien dan server.
Sumber: opennet.ru