Басталды Цифрлық даму, коммуникациялар және бұқаралық коммуникациялар министрлігі әзірлеген «Ақпарат, ақпараттық технологиялар және ақпаратты қорғау туралы» Федералдық заңға өзгертулер енгізу туралы құқықтық актінің жобасы. Заң Ресей Федерациясының аумағында Интернеттегі интернет-беттің немесе сайттың атын (идентификаторын) жасыруға мүмкіндік беретін шифрлау хаттамаларын Ресей Федерациясының аумағында қолдануға тыйым салуды ұсынады. Ресей Федерациясының заңнамасы».
Сайт атауын жасыруға мүмкіндік беретін шифрлау хаттамаларын пайдалануға тыйым салуды бұзғаны үшін осы бұзушылық анықталған күннен бастап 1 (бір) жұмыс күнінен кешіктірмей интернет-ресурстың жұмысын тоқтату ұсынылады. уәкілетті федералды атқарушы орган. Бұғаттаудың негізгі мақсаты - TLS кеңейтімі (бұрын ESNI ретінде белгілі), оны TLS 1.3 және қазірдің өзінде бірге пайдалануға болады Қытайда. Заң жобасындағы тұжырымдар анық емес және ECH/ESNI-дан басқа ерекшелік болмағандықтан, ресми түрде байланыс арнасын толық шифрлауды қамтамасыз ететін кез келген дерлік хаттамалар, сондай-ақ хаттамалар (DoH) және (DoT).
Еске салайық, бір IP мекенжайында бірнеше HTTPS сайттарының жұмысын ұйымдастыру үшін шифрланған байланыс арнасын орнатпас бұрын жіберілген ClientHello хабарламасында хост атауын анық мәтінде жіберетін SNI кеңейтімі бір уақытта әзірленді. Бұл мүмкіндік Интернет провайдеріне HTTPS трафигін таңдап сүзуге және пайдаланушы қай сайттарды ашатынын талдауға мүмкіндік береді, бұл HTTPS пайдалану кезінде толық құпиялылыққа қол жеткізуге мүмкіндік бермейді.
ECH/ESNI HTTPS қосылымдарын талдау кезінде сұралған сайт туралы ақпараттың ағып кетуін толығымен жояды. Мазмұнды жеткізу желісі арқылы қол жеткізумен бірге, ECH/ESNI пайдалану сонымен қатар провайдерден сұралған ресурстың IP мекенжайын жасыруға мүмкіндік береді - трафикті тексеру жүйелері тек CDN сұрауларын көреді және TLS жалғандығынсыз блоктауды қолдана алмайды. сеанс, бұл жағдайда пайдаланушы браузерінде сертификатты ауыстыру туралы сәйкес хабарлама көрсетіледі. Егер ECH/ESNI тыйымы енгізілсе, бұл мүмкіндікпен күресудің жалғыз жолы - ECH/ESNI қолдайтын Content Delivery Networks (CDNs) қолжетімділікті толығымен шектеу, әйтпесе тыйым тиімсіз болады және CDN арқылы оңай айналып өтуге болады.
ECH/ESNI пайдаланған кезде, SNI сияқты хост атауы ClientHello хабарламасында жіберіледі, бірақ бұл хабарламада жіберілген деректердің мазмұны шифрланады. Шифрлау сервер мен клиент кілттері негізінде есептелген құпияны пайдаланады. Ұсталған немесе алынған ECH/ESNI өрісінің мәнін шифрдан шығару үшін клиенттің немесе сервердің жеке кілтін (сонымен қатар сервердің немесе клиенттің ашық кілттерін) білуіңіз керек. Ашық кілттер туралы ақпарат DNS серверіндегі сервер кілті үшін және ClientHello хабарламасындағы клиенттік кілт үшін жіберіледі. Шифрды шешу тек клиент пен серверге белгілі TLS қосылымын орнату кезінде келісілген ортақ құпияны пайдалану арқылы да мүмкін болады.
Ақпарат көзі: opennet.ru