Протоколы шифрования DNS станут вне закона? Минцифры России хочет запретить ESNI, DoT и DoH

В закон, разработанный Министерством цифрового развития, связи и массовых коммуникаций (Минцифры России), предлагается внести следующее изменение:

Запрещается использование на территории Российской Федерации протоколов шифрования, позволяющих скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет», за исключением случаев, установленных законодательством Российской Федерации

За нарушение запрета использования протоколов предлагается блокировать Интернет-ресурс в срок не позднее одного рабочего дня с момента обнаружения нарушения.

Данная поправка нацелена в основном на блокировку TLS-расширения ECH (ESNI). Однако, формально под расплывчатое определение «протокол шифрования, позволяющий скрыть имя «Интернет-страницы» подпадают также защищенные протоколы DNS over HTTPS (DoH) и DNS over TLS (DoT).

С точки зрения конфиденциальности, основным преимуществом ECH/ESNI является защита от утечек сведений о запрашиваемом сайте при анализе HTTPS-соединений. Менее безопасное расширение SNI передает имя хоста в открытом виде в приветственном сообщении ClientHello, а значит провайдер получает возможность для выборочной фильтрации HTTPS-трафика.

В случае с ECH/ESNI системы анализа трафика видят только обращения к сетям доставки контента (CDN) и не могут блокировать контент без подмены TLS-сеанса. Имя хоста также передается в рукопожатии ClientHello, но оно зашифровано с помощью открытого и приватного ключей сервера и клиента.

Для введения запрета ECH/ESN потребуется полное ограничение доступа к сетям доставки контента (CDN) с поддержкой ECH/ESNI. В противном случае, блокировка будет неэффективной, ее можно будет легко обойти при помощи CDN.

Любой гражданин РФ может принять участие в общественном обсуждении данных изменений. Для этого перейдите на соответствующую страницу федерального портала проектов нормативных правовых актов.