Почалося
За порушення заборони використання протоколів шифрування, що дозволяють приховати ім'я сайту, пропонується припиняти функціонування Інтернет-ресурсу в строк не пізніше 1 (одного) робочого дня з дня виявлення даного порушення уповноваженим на те федеральним органом виконавчої влади. Основною метою блокування є TLS-розширення
Нагадаємо, що для організації роботи на одній IP-адресі кількох HTTPS-сайтів свого часу було розроблено розширення SNI, що здійснює передачу імені хоста у відкритому вигляді у повідомленні ClientHello, що передається до встановлення шифрованого каналу зв'язку. Подібна особливість дає можливість на стороні інтернет-провайдера вибірково фільтрувати HTTPS-трафік та аналізувати які сайти відкриває користувач, що не дозволяє досягти повної конфіденційності при застосуванні HTTPS.
ECH/ESNI повністю виключає витік відомостей про запитуваний сайт під час аналізу HTTPS-з'єднань. У поєднанні із зверненням через мережу доставки контенту застосування ECH/ESNI також дає можливість приховати від провайдера та IP-адресу запитуваного ресурсу — системи інспектування трафіку бачать лише звернення до CDN і не можуть застосувати блокування без заміни TLS-сеансу, у разі якого у браузері користувача буде показано відповідне повідомлення про заміну сертифіката. У разі заборони ECH/ESNI для протистояння подібної можливості може допомогти лише повне обмеження доступу до мереж доставки контенту (CDN), що підтримує ECH/ESNI, інакше блокування буде неефективним і зможе легко обходитися за допомогою CDN.
При використанні ECH/ESNI ім'я хоста як і в SNI передається в повідомленні ClientHello, але вміст даних, що передаються в даному повідомленні, зашифровано. Для шифрування використовується секрет, обчислений на основі ключів сервера та клієнта. Для розшифрування перехопленого чи отриманого значення поля ECH/ESNI необхідно знати закритий ключ клієнта чи сервера (плюс відкриті ключі сервера чи клієнта). Інформація про відкриті ключі надсилається для серверного ключа в DNS, а для клієнтського ключа в повідомленні ClientHello. Розшифровка також можлива за допомогою узгодженого в процесі встановлення TLS-з'єднання загального секрету, відомого лише клієнту та серверу.
Джерело: opennet.ru