Ilianza
Kwa ukiukaji wa marufuku ya utumiaji wa itifaki za usimbuaji ambazo hufanya iwezekanavyo kuficha jina la tovuti, inapendekezwa kusimamisha utendakazi wa rasilimali ya mtandao kabla ya siku 1 (moja) ya biashara kutoka tarehe ya ugunduzi wa ukiukaji huu. baraza kuu la shirikisho lililoidhinishwa. Kusudi kuu la kuzuia ni ugani wa TLS
Hebu tukumbuke kwamba ili kuandaa kazi ya tovuti kadhaa za HTTPS kwenye anwani moja ya IP, ugani wa SNI ulitengenezwa kwa wakati mmoja, ambao hupeleka jina la mwenyeji kwa maandishi wazi katika ujumbe wa ClientHello uliopitishwa kabla ya kufunga njia ya mawasiliano iliyosimbwa. Kipengele hiki kinawezesha kwa upande wa mtoa huduma wa Intaneti kuchuja kwa kuchagua trafiki ya HTTPS na kuchanganua ni tovuti zipi mtumiaji hufungua, jambo ambalo haliruhusu kufikia usiri kamili unapotumia HTTPS.
ECH/ESNI huondoa kabisa uvujaji wa taarifa kuhusu tovuti iliyoombwa wakati wa kuchanganua miunganisho ya HTTPS. Pamoja na ufikiaji kupitia mtandao wa uwasilishaji wa yaliyomo, utumiaji wa ECH/ESNI pia huwezesha kuficha anwani ya IP ya rasilimali iliyoombwa kutoka kwa mtoa huduma - mifumo ya ukaguzi wa trafiki huona maombi tu kwa CDN na haiwezi kuomba kuzuia bila kuharibu TLS. kipindi, katika hali ambayo kivinjari cha mtumiaji arifa inayolingana kuhusu uingizwaji wa cheti itaonyeshwa. Iwapo marufuku ya ECH/ESNI itaanzishwa, njia pekee ya kukabiliana na uwezekano huu ni kuzuia kabisa ufikiaji wa Mitandao ya Utoaji Maudhui (CDNs) ambayo inasaidia ECH/ESNI, vinginevyo marufuku hayatatumika na yanaweza kuepukwa kwa urahisi na CDN.
Unapotumia ECH/ESNI, jina la mpangishaji, kama ilivyo kwa SNI, hutumwa katika ujumbe wa ClientHello, lakini yaliyomo kwenye data iliyotumwa katika ujumbe huu yamesimbwa kwa njia fiche. Usimbaji fiche hutumia siri iliyokokotwa kutoka kwa seva na funguo za mteja. Ili kusimbua thamani ya sehemu ya ECH/ESNI iliyonaswa au kupokewa, lazima ujue ufunguo wa faragha wa mteja au seva (pamoja na funguo za umma za seva au mteja). Taarifa kuhusu funguo za umma hutumwa kwa ufunguo wa seva katika DNS, na kwa ufunguo wa mteja katika ujumbe wa ClientHello. Usimbaji fiche pia unawezekana kwa kutumia siri iliyoshirikiwa iliyokubaliwa wakati wa usanidi wa muunganisho wa TLS, unaojulikana kwa mteja na seva pekee.
Chanzo: opennet.ru