Började
För brott mot förbudet mot användning av krypteringsprotokoll som gör det möjligt att dölja webbplatsens namn, föreslås det att driften av internetresursen avbryts senast 1 (en) arbetsdag från dagen för upptäckten av denna överträdelse av det auktoriserade federala verkställande organet. Huvudsyftet med blockering är TLS-tillägget
Låt oss komma ihåg att för att organisera arbetet på flera HTTPS-webbplatser på en IP-adress utvecklades SNI-tillägget på en gång, som överför värdnamnet i klartext i ClientHello-meddelandet som överförs innan en krypterad kommunikationskanal installeras. Denna funktion gör det möjligt på internetleverantörens sida att selektivt filtrera HTTPS-trafik och analysera vilka webbplatser användaren öppnar, vilket inte tillåter att man uppnår fullständig konfidentialitet när man använder HTTPS.
ECH/ESNI eliminerar fullständigt läckage av information om den begärda platsen vid analys av HTTPS-anslutningar. I kombination med åtkomst via ett innehållsleveransnätverk gör användningen av ECH/ESNI det också möjligt att dölja IP-adressen för den begärda resursen från leverantören - trafikinspektionssystem ser endast förfrågningar till CDN och kan inte tillämpa blockering utan att spoofa TLS session, i vilket fall användarens webbläsare ett motsvarande meddelande om certifikatutbytet kommer att visas. Om ett ECH/ESNI-förbud införs är det enda sättet att bekämpa denna möjlighet att helt begränsa åtkomsten till Content Delivery Networks (CDN) som stöder ECH/ESNI, annars blir förbudet ineffektivt och kan lätt kringgås av CDN:er.
Vid användning av ECH/ESNI sänds värdnamnet, som i SNI, i ClientHello-meddelandet, men innehållet i data som överförs i detta meddelande krypteras. Kryptering använder en hemlighet som beräknas från servern och klientnycklarna. För att dekryptera ett fångat eller mottaget ECH/ESNI-fältvärde måste du känna till klientens eller serverns privata nyckel (plus serverns eller klientens publika nycklar). Information om publika nycklar överförs för servernyckeln i DNS och för klientnyckeln i ClientHello-meddelandet. Dekryptering är också möjligt med hjälp av en delad hemlighet som överenskommits under TLS-anslutningens installation, endast känd för klienten och servern.
Källa: opennet.ru