Başladı
Site adının gizlenmesini mümkün kılan şifreleme protokollerinin kullanımına ilişkin yasağın ihlali durumunda, bu ihlalin tespit edildiği tarihten itibaren en geç 1 (bir) iş günü içerisinde İnternet kaynağının çalışmasının askıya alınması önerilmektedir. yetkili federal yürütme organı. Engellemenin asıl amacı TLS uzantısıdır
Birkaç HTTPS sitesinin çalışmasını tek bir IP adresi üzerinde düzenlemek için, şifreli bir iletişim kanalı kurulmadan önce iletilen ClientHello mesajında ana bilgisayar adını açık metin olarak ileten SNI uzantısının aynı anda geliştirildiğini hatırlayalım. Bu özellik, İnternet sağlayıcısının HTTPS trafiğini seçici olarak filtrelemesini ve kullanıcının hangi siteleri açtığını analiz etmesini mümkün kılar, bu da HTTPS kullanırken tam bir gizlilik elde edilmesine izin vermez.
ECH/ESNI, HTTPS bağlantılarını analiz ederken istenen site hakkında bilgi sızıntısını tamamen ortadan kaldırır. İçerik dağıtım ağı aracılığıyla erişimle birlikte ECH/ESNI kullanımı, talep edilen kaynağın IP adresinin sağlayıcıdan gizlenmesine de olanak tanır; trafik denetim sistemleri yalnızca CDN'ye yapılan talepleri görür ve TLS'yi yanıltmadan engelleme uygulayamaz Bu durumda kullanıcının tarayıcısında sertifika değişikliğine ilişkin ilgili bir bildirim görüntülenecektir. Bir ECH/ESNI yasağı getirilirse, bu olasılıkla mücadele etmenin tek yolu, ECH/ESNI'yi destekleyen İçerik Dağıtım Ağlarına (CDN'ler) erişimi tamamen kısıtlamaktır, aksi takdirde yasak etkisiz olacak ve CDN'ler tarafından kolayca atlatılabilir.
ECH/ESNI kullanıldığında, SNI'de olduğu gibi ana bilgisayar adı ClientHello mesajında iletilir, ancak bu mesajda iletilen verilerin içeriği şifrelenir. Şifreleme, sunucu ve istemci anahtarlarından hesaplanan bir sır kullanır. Ele geçirilen veya alınan bir ECH/ESNI alan değerinin şifresini çözmek için, istemcinin veya sunucunun özel anahtarını (artı sunucunun veya istemcinin genel anahtarlarını) bilmeniz gerekir. Genel anahtarlarla ilgili bilgiler, DNS'deki sunucu anahtarı için ve ClientHello mesajındaki istemci anahtarı için iletilir. Şifre çözme, yalnızca istemci ve sunucu tarafından bilinen, TLS bağlantı kurulumu sırasında üzerinde anlaşılan paylaşılan bir sır kullanılarak da mümkündür.
Kaynak: opennet.ru