Iniciado
Por violação da proibição de utilização de protocolos de criptografia que possibilitem a ocultação do nome do site, propõe-se a suspensão do funcionamento do recurso Internet no prazo máximo de 1 (um) dia útil a partir da data da descoberta desta violação por o órgão executivo federal autorizado. O principal objetivo do bloqueio é a extensão TLS
Lembremos que para organizar o trabalho de vários sites HTTPS em um endereço IP, foi desenvolvida a extensão SNI de uma só vez, que transmite o nome do host em texto não criptografado na mensagem ClientHello transmitida antes da instalação de um canal de comunicação criptografado. Este recurso permite que o provedor de Internet filtre seletivamente o tráfego HTTPS e analise quais sites o usuário abre, o que não permite obter total confidencialidade ao usar HTTPS.
ECH/ESNI elimina completamente o vazamento de informações sobre o site solicitado ao analisar conexões HTTPS. Em combinação com o acesso através de uma rede de entrega de conteúdo, o uso de ECH/ESNI também permite ocultar do provedor o endereço IP do recurso solicitado - os sistemas de inspeção de tráfego veem apenas solicitações para o CDN e não podem aplicar bloqueio sem falsificar o TLS sessão, caso em que será exibida no navegador do usuário uma notificação correspondente sobre a substituição do certificado. Se for introduzida uma proibição de ECH/ESNI, a única forma de combater esta possibilidade é restringir completamente o acesso às redes de distribuição de conteúdos (CDN) que suportam ECH/ESNI, caso contrário a proibição será ineficaz e poderá ser facilmente contornada por CDN.
Ao usar ECH/ESNI, o nome do host, como no SNI, é transmitido na mensagem ClientHello, mas o conteúdo dos dados transmitidos nesta mensagem é criptografado. A criptografia usa um segredo calculado a partir das chaves do servidor e do cliente. Para descriptografar um valor de campo ECH/ESNI interceptado ou recebido, você deve conhecer a chave privada do cliente ou servidor (mais as chaves públicas do servidor ou cliente). As informações sobre chaves públicas são transmitidas para a chave do servidor no DNS e para a chave do cliente na mensagem ClientHello. A descriptografia também é possível usando um segredo compartilhado acordado durante a configuração da conexão TLS, conhecido apenas pelo cliente e pelo servidor.
Fonte: opennet.ru