Begynte
For brudd på forbudet mot bruk av krypteringsprotokoller som gjør det mulig å skjule nettstedets navn, foreslås det å stanse driften av Internettressursen senest 1 (én) virkedag fra datoen for oppdagelsen av dette bruddet det autoriserte føderale utøvende organet. Hovedformålet med blokkering er TLS-utvidelsen
La oss huske at for å organisere arbeidet til flere HTTPS-nettsteder på én IP-adresse, ble SNI-utvidelsen utviklet på en gang, som overfører vertsnavnet i klartekst i ClientHello-meldingen som ble sendt før installering av en kryptert kommunikasjonskanal. Denne funksjonen gjør det mulig på internettleverandørens side å selektivt filtrere HTTPS-trafikk og analysere hvilke nettsteder brukeren åpner, noe som ikke tillater å oppnå fullstendig konfidensialitet ved bruk av HTTPS.
ECH/ESNI eliminerer fullstendig lekkasje av informasjon om det forespurte nettstedet når man analyserer HTTPS-tilkoblinger. I kombinasjon med tilgang gjennom et innholdsleveringsnettverk, gjør bruken av ECH/ESNI det også mulig å skjule IP-adressen til den forespurte ressursen fra leverandøren - trafikkinspeksjonssystemer ser kun forespørsler til CDN og kan ikke bruke blokkering uten å forfalske TLS sesjon, i så fall vil brukerens nettleser vises et tilsvarende varsel om sertifikaterstatningen. Hvis et ECH/ESNI-forbud innføres, er den eneste måten å bekjempe denne muligheten på å fullstendig begrense tilgangen til Content Delivery Networks (CDN) som støtter ECH/ESNI, ellers vil forbudet være ineffektivt og lett kan omgås av CDN-er.
Ved bruk av ECH/ESNI blir vertsnavnet, som i SNI, overført i ClientHello-meldingen, men innholdet i dataene som overføres i denne meldingen er kryptert. Kryptering bruker en hemmelighet beregnet fra server- og klientnøkler. For å dekryptere en oppfanget eller mottatt ECH/ESNI-feltverdi, må du kjenne klientens eller serverens private nøkkel (pluss serverens eller klientens offentlige nøkler). Informasjon om offentlige nøkler overføres for servernøkkelen i DNS, og for klientnøkkelen i ClientHello-meldingen. Dekryptering er også mulig ved å bruke en delt hemmelighet som ble avtalt under TLS-tilkoblingsoppsettet, kun kjent for klienten og serveren.
Kilde: opennet.ru