เริ่ม
สำหรับการละเมิดการห้ามใช้โปรโตคอลการเข้ารหัสที่ทำให้สามารถซ่อนชื่อไซต์ได้ เสนอให้ระงับการทำงานของทรัพยากรอินเทอร์เน็ตภายในไม่เกิน 1 (หนึ่ง) วันทำการนับจากวันที่ค้นพบการละเมิดนี้โดย หน่วยงานบริหารของรัฐบาลกลางที่ได้รับอนุญาต วัตถุประสงค์หลักของการบล็อกคือส่วนขยาย TLS
ให้เราระลึกว่าในการจัดระเบียบงานของไซต์ HTTPS หลายแห่งบนที่อยู่ IP เดียว ส่วนขยาย SNI ได้รับการพัฒนาในคราวเดียว ซึ่งส่งชื่อโฮสต์เป็นข้อความที่ชัดเจนในข้อความ ClientHello ที่ส่งก่อนที่จะติดตั้งช่องทางการสื่อสารที่เข้ารหัส คุณลักษณะนี้ช่วยให้ผู้ให้บริการอินเทอร์เน็ตสามารถเลือกกรองการรับส่งข้อมูล HTTPS และวิเคราะห์ไซต์ที่ผู้ใช้เปิด ซึ่งไม่อนุญาตให้บรรลุการรักษาความลับโดยสมบูรณ์เมื่อใช้ HTTPS
ECH/ESNI กำจัดการรั่วไหลของข้อมูลเกี่ยวกับไซต์ที่ร้องขอโดยสิ้นเชิงเมื่อวิเคราะห์การเชื่อมต่อ HTTPS เมื่อใช้ร่วมกับการเข้าถึงผ่านเครือข่ายการจัดส่งเนื้อหา การใช้ ECH/ESNI ยังทำให้สามารถซ่อนที่อยู่ IP ของทรัพยากรที่ร้องขอจากผู้ให้บริการได้ - ระบบตรวจสอบการรับส่งข้อมูลจะเห็นเฉพาะคำขอไปยัง CDN และไม่สามารถใช้การบล็อกโดยไม่ปลอมแปลง TLS เซสชัน ซึ่งในกรณีนี้เบราว์เซอร์ของผู้ใช้จะแสดงการแจ้งเตือนที่เกี่ยวข้องเกี่ยวกับการทดแทนใบรับรอง หากมีการใช้การแบน ECH/ESNI วิธีเดียวที่จะต่อสู้กับความเป็นไปได้นี้คือการจำกัดการเข้าถึงเครือข่ายการจัดส่งเนื้อหา (CDN) ที่รองรับ ECH/ESNI โดยสิ้นเชิง มิฉะนั้น การแบนจะไม่ได้ผลและสามารถหลีกเลี่ยงได้ง่ายโดย CDN
เมื่อใช้ ECH/ESNI ชื่อโฮสต์เช่นเดียวกับใน SNI จะถูกส่งในข้อความ ClientHello แต่เนื้อหาของข้อมูลที่ส่งในข้อความนี้จะถูกเข้ารหัส การเข้ารหัสใช้ข้อมูลลับที่คำนวณจากคีย์เซิร์ฟเวอร์และไคลเอ็นต์ หากต้องการถอดรหัสค่าฟิลด์ ECH/ESNI ที่ถูกสกัดกั้นหรือรับ คุณต้องทราบคีย์ส่วนตัวของไคลเอ็นต์หรือเซิร์ฟเวอร์ (รวมถึงคีย์สาธารณะของเซิร์ฟเวอร์หรือไคลเอ็นต์ด้วย) ข้อมูลเกี่ยวกับกุญแจสาธารณะจะถูกส่งสำหรับรหัสเซิร์ฟเวอร์ใน DNS และสำหรับรหัสลูกค้าในข้อความ ClientHello การถอดรหัสยังสามารถทำได้โดยใช้ความลับที่ใช้ร่วมกันซึ่งตกลงกันในระหว่างการตั้งค่าการเชื่อมต่อ TLS ซึ่งรู้จักเฉพาะไคลเอนต์และเซิร์ฟเวอร์เท่านั้น
ที่มา: opennet.ru