Bermula
Untuk pelanggaran larangan penggunaan protokol penyulitan yang memungkinkan untuk menyembunyikan nama tapak, adalah dicadangkan untuk menggantung operasi sumber Internet tidak lewat daripada 1 (satu) hari perniagaan dari tarikh penemuan pelanggaran ini oleh badan eksekutif persekutuan yang diberi kuasa. Tujuan utama menyekat ialah sambungan TLS
Mari kita ingat bahawa untuk mengatur kerja beberapa tapak HTTPS pada satu alamat IP, sambungan SNI telah dibangunkan pada satu masa, yang menghantar nama hos dalam teks yang jelas dalam mesej ClientHello yang dihantar sebelum memasang saluran komunikasi yang disulitkan. Ciri ini membolehkan pihak penyedia Internet menapis trafik HTTPS secara selektif dan menganalisis tapak mana yang dibuka pengguna, yang tidak membenarkan mencapai kerahsiaan lengkap apabila menggunakan HTTPS.
ECH/ESNI menghapuskan sepenuhnya kebocoran maklumat tentang tapak yang diminta semasa menganalisis sambungan HTTPS. Dalam kombinasi dengan akses melalui rangkaian penghantaran kandungan, penggunaan ECH/ESNI juga memungkinkan untuk menyembunyikan alamat IP sumber yang diminta daripada pembekal - sistem pemeriksaan trafik hanya melihat permintaan kepada CDN dan tidak boleh menggunakan penyekatan tanpa memalsukan TLS sesi, dalam hal ini pelayar pengguna pemberitahuan yang sepadan tentang penggantian sijil akan dipaparkan. Jika larangan ECH/ESNI diperkenalkan, satu-satunya cara untuk memerangi kemungkinan ini adalah dengan menyekat sepenuhnya akses kepada Rangkaian Penyampaian Kandungan (CDN) yang menyokong ECH/ESNI, jika tidak larangan itu akan menjadi tidak berkesan dan boleh dielakkan dengan mudah oleh CDN.
Apabila menggunakan ECH/ESNI, nama hos, seperti dalam SNI, dihantar dalam mesej ClientHello, tetapi kandungan data yang dihantar dalam mesej ini disulitkan. Penyulitan menggunakan rahsia yang dikira daripada kunci pelayan dan klien. Untuk menyahsulit nilai medan ECH/ESNI yang dipintas atau diterima, anda mesti mengetahui kunci peribadi klien atau pelayan (serta kunci awam pelayan atau klien). Maklumat tentang kunci awam dihantar untuk kunci pelayan dalam DNS, dan untuk kunci klien dalam mesej ClientHello. Penyahsulitan juga boleh dilakukan menggunakan rahsia kongsi yang dipersetujui semasa persediaan sambungan TLS, yang hanya diketahui oleh klien dan pelayan.
Sumber: opennet.ru