Filloi
Për shkelje të ndalimit të përdorimit të protokolleve të enkriptimit që bëjnë të mundur fshehjen e emrit të faqes, propozohet pezullimi i funksionimit të burimit të internetit jo më vonë se 1 (një) ditë pune nga data e zbulimit të kësaj shkeljeje nga organi ekzekutiv federal i autorizuar. Qëllimi kryesor i bllokimit është zgjerimi TLS
Le të kujtojmë se për të organizuar punën e disa siteve HTTPS në një adresë IP, u zhvillua në të njëjtën kohë zgjerimi SNI, i cili transmeton emrin e hostit në tekst të qartë në mesazhin ClientHello të transmetuar përpara se të instaloni një kanal komunikimi të koduar. Kjo veçori bën të mundur që nga ana e ofruesit të internetit të filtrohet në mënyrë selektive trafiku HTTPS dhe të analizojë se cilat faqe hap përdoruesi, gjë që nuk lejon arritjen e konfidencialitetit të plotë kur përdoret HTTPS.
ECH/ESNI eliminon plotësisht rrjedhjen e informacionit në lidhje me sitin e kërkuar kur analizon lidhjet HTTPS. Në kombinim me aksesin përmes një rrjeti të shpërndarjes së përmbajtjes, përdorimi i ECH/ESNI gjithashtu bën të mundur fshehjen e adresës IP të burimit të kërkuar nga ofruesi - sistemet e inspektimit të trafikut shohin vetëm kërkesat për CDN dhe nuk mund të zbatojnë bllokimin pa prishur TLS sesioni, në të cilin rast shfletuesi i përdoruesit do të shfaqet një njoftim përkatës për zëvendësimin e certifikatës. Nëse futet një ndalim ECH/ESNI, mënyra e vetme për të luftuar këtë mundësi është të kufizoni plotësisht aksesin në Rrjetet e shpërndarjes së përmbajtjes (CDN) që mbështesin ECH/ESNI, përndryshe ndalimi do të jetë i paefektshëm dhe mund të anashkalohet lehtësisht nga CDN-të.
Kur përdorni ECH/ESNI, emri i hostit, si në SNI, transmetohet në mesazhin ClientHello, por përmbajtja e të dhënave të transmetuara në këtë mesazh është e koduar. Kriptimi përdor një sekret të llogaritur nga çelësat e serverit dhe klientit. Për të deshifruar një vlerë të fushës ECH/ESNI të përgjuar ose të marrë, duhet të dini çelësin privat të klientit ose serverit (plus çelësat publikë të serverit ose klientit). Informacioni rreth çelësave publikë transmetohet për çelësin e serverit në DNS dhe për çelësin e klientit në mesazhin ClientHello. Deshifrimi është gjithashtu i mundur duke përdorur një sekret të përbashkët të rënë dakord gjatë konfigurimit të lidhjes TLS, i njohur vetëm për klientin dhe serverin.
Burimi: opennet.ru