它开始
对于违反禁止使用可隐藏站点名称的加密协议的行为,建议自发现违规行为之日起不迟于 1(一)个工作日内暂停互联网资源的运行授权的联邦执行机构。 阻止的主要目的是TLS扩展
让我们回想一下,为了在一个 IP 地址上组织多个 HTTPS 站点的工作,一度开发了 SNI 扩展,它在安装加密通信通道之前传输的 ClientHello 消息中以明文形式传输主机名。 此功能使得互联网提供商可以有选择地过滤 HTTPS 流量并分析用户打开的网站,但在使用 HTTPS 时无法实现完全保密。
ECH/ESNI 完全消除了分析 HTTPS 连接时所请求站点的信息泄漏。 与通过内容分发网络进行访问相结合,使用 ECH/ESNI 还可以向提供商隐藏所请求资源的 IP 地址 - 流量检查系统只能看到对 CDN 的请求,并且无法在不欺骗 TLS 的情况下应用阻止会话,在这种情况下,用户的浏览器将显示有关证书替换的相应通知。 如果引入 ECH/ESNI 禁令,应对这种可能性的唯一方法是完全限制对支持 ECH/ESNI 的内容分发网络 (CDN) 的访问,否则禁令将无效,并且很容易被 CDN 规避。
使用ECH/ESNI时,与SNI中一样,主机名在ClientHello消息中传输,但该消息中传输的数据内容是加密的。 加密使用根据服务器和客户端密钥计算出的秘密。 要解密截获或接收的 ECH/ESNI 字段值,您必须知道客户端或服务器的私钥(加上服务器或客户端的公钥)。 有关公钥的信息在 DNS 中传输服务器密钥,并在 ClientHello 消息中传输客户端密钥。 还可以使用 TLS 连接设置期间商定的共享密钥进行解密,该共享密钥只有客户端和服务器知道。
来源: opennet.ru