[ON] В РФ намерены запретить протоколы, позволяющие скрыть имя сайта

[rssbot]

Началось общественное обсуждение проекта правового акта о внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации", разработанного Министерством цифрового развития, связи и массовых коммуникаций. В закон предложено ввести запрет на использование на территории Российской Федерации "протоколов шифрования, позволяющих скрыть имя (идентификатор) ‎Интернет-страницы или сайта в сети Интернет, за исключением случаев, установленных законодательством Российской Федерации".

За нарушение запрета использования протоколов шифрования, позволяющих скрыть имя сайта, предлагается приостанавливать функционирование Интернет-ресурса в срок не позднее 1 (одного) рабочего дня со дня обнаружения данного нарушения уполномоченным на то федеральным органом исполнительной власти. Основной целью блокировки является TLS-расширение ECH (ранее известно как ESNI), которое может применяться совместно с TLS 1.3 и уже заблокировано в Китае. Так как формулировки в законопроекте размыты и отсутствует конкретика, кроме ECH/ESNI формально под блокировку могут попасть практически любые протоколы, обеспечивающие полное шифрование канала связи, а также протоколы DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT).

Напомним, что для организации работы на одном IP-адресе нескольких HTTPS-сайтов в своё время было разработано расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.

ECH/ESNI полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ECH/ESNI также даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса - системы инспектирования трафика видят только обращения к CDN и не могут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата. В случае введения запрета ECH/ESNI для противостояния подобной возможности может помочь лишь полное ограничение доступа к сетям доставки контента (CDN), поддерживающим ECH/ESNI, иначе блокировка будет неэффективной и сможет легко обходиться при помощи CDN.

При использовании ECH/ESNI имя хоста, как и в SNI, передаётся в сообщении ClientHello, но содержимое передаваемых в данном сообщении данных зашифровано. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ECH/ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS, а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу.


Источник: https://www.opennet.ru/opennews/art.shtml?num=53756
(opennet.ru, основная лента)

[Bizdelnick]

Проголосовал против. Если кто не в курсе, это делается по первой ссылке из новости, можно использовать учётку от Госуслуг (а можно отдельно на сайте зарегаться).
P. S. И отзыв на пару абзацев не поленился накатать. Заспамить гадов надо.

[algri14]

Каждый уважающий себя гражданин РФ просто обязан зайти на https://regulation.gov.ru/p/108513 и выразить своё отношение к данному законопроекту.

Я выразился против (на данный момент 211 против), их бы матом обвыразить...

Добавлено (20:56):

можно использовать учётку от Госуслуг.

т.е. через ЕСИА

Добавлено (21:42):

а сейчас там уже "Ошибка сервера 500", вот так

[olecya]

а сейчас там уже "Ошибка сервера 500", вот так

Заработала...

[azsx]

у меня ничего не открывается. Не найден закон, по первой ссылке.
То есть https использовать на сайтах можно, нельзя использовать именно методики закрытия url адреса, верно? Ну если его примут (кто бы сомневался, что примут).

[devilr]

Пускай принимают. Получится ведь, как обычно. Правильные пацаны попилят бюджет, как обычно, заблокируют половину рунета, а толку особого не будет. Потом скажут: "звиняйте, не шмогла". Как с Телеграмом.

[awua]

Словил сегодня:



Вот думаю, оно это или нет?

[Bizdelnick]

Вот думаю, оно это или нет?

Нет, конечно. Еле-2 не настолько продвинутый, чтобы ещё не стандартизированные протоколы использовать, он настолько отсталый, что полтора десятка лет сервер не обновлял.
https://www.ssllabs.com/ssltest/analyze.html?d=gudok.tele2.ru

[chitatel]

Пускай принимают. Получится ведь, как обычно. Правильные пацаны попилят бюджет, как обычно, заблокируют половину рунета, а толку особого не будет. Потом скажут: "звиняйте, не шмогла". Как с Телеграмом.

+1. Солидарен.