È iniziata
Per violazione del divieto di utilizzo di protocolli di crittografia che consentano di nascondere il nome del sito, si propone di sospendere il funzionamento della risorsa Internet entro e non oltre 1 (un) giorno lavorativo dalla data di scoperta di tale violazione da parte l’organo esecutivo federale autorizzato. Lo scopo principale del blocco è l'estensione TLS
Ricordiamo che per organizzare il lavoro di più siti HTTPS su un indirizzo IP, è stata sviluppata contemporaneamente l'estensione SNI, che trasmette il nome host in chiaro nel messaggio ClientHello trasmesso prima dell'installazione di un canale di comunicazione crittografato. Questa funzionalità consente da parte del provider Internet di filtrare selettivamente il traffico HTTPS e di analizzare quali siti apre l'utente, il che non consente di ottenere la completa riservatezza quando si utilizza HTTPS.
ECH/ESNI elimina completamente la fuga di informazioni sul sito richiesto durante l'analisi delle connessioni HTTPS. In combinazione con l'accesso tramite una rete di distribuzione dei contenuti, l'uso di ECH/ESNI consente anche di nascondere al fornitore l'indirizzo IP della risorsa richiesta: i sistemi di ispezione del traffico vedono solo le richieste alla CDN e non possono applicare il blocco senza spoofing del TLS sessione, nel qual caso nel browser dell'utente verrà visualizzata una notifica corrispondente sulla sostituzione del certificato. Se viene introdotto un divieto ECH/ESNI, l’unico modo per combattere questa possibilità è limitare completamente l’accesso alle reti di distribuzione dei contenuti (CDN) che supportano ECH/ESNI, altrimenti il divieto sarà inefficace e potrà essere facilmente aggirato dai CDN.
Quando si utilizza ECH/ESNI, il nome host, come in SNI, viene trasmesso nel messaggio ClientHello, ma il contenuto dei dati trasmessi in questo messaggio è crittografato. La crittografia utilizza un segreto calcolato dalle chiavi del server e del client. Per decrittografare un valore di campo ECH/ESNI intercettato o ricevuto, è necessario conoscere la chiave privata del client o del server (più le chiavi pubbliche del server o del client). Le informazioni sulle chiavi pubbliche vengono trasmesse per la chiave del server in DNS e per la chiave del client nel messaggio ClientHello. La decrittografia è possibile anche utilizzando un segreto condiviso concordato durante l'impostazione della connessione TLS, noto solo al client e al server.
Fonte: opennet.ru