俄罗斯希望禁止使用TLS 1.3、DoH、DOT、ESNI等安全协议

俄罗斯政府正在努力更新其技术法，以便禁止使用可能阻碍其监控和审查能力的现代互联网协议。

根据一份最新拟议的法律修正案副本和一份政府解释说明，这项禁令针对的是互联网协议和技术，如TLS 1.3、DOH、DOT和ESNI。

莫斯科官员并不打算全面禁止HTTPS和加密通信，因为它们对现代金融交易、通信、军事和关键基础设施至关重要。

相反，政府希望禁止使用在HTTPS流量中隐藏网页名称(标识符)的互联网协议。

今天，虽然HTTPS对互联网连接的内容进行加密，但电信公司等第三方可以应用和确定用户连接到哪个站点的各种技术。

第三方可能无法破解加密和嗅探流量，但他们可以根据这些泄密来跟踪或阻止用户，这就是当今一些ISP级别的父母控制和版权侵权黑名单的运作方式。

电信公司目前使用的主要两种技术包括(1)监视DNS流量或(2)分析HTTPS流量中的SNI(服务器名称标识)字段。

第一种技术之所以有效，是因为浏览器和应用程序以明文形式进行DNS查询，甚至在未来的HTTPS连接建立之前就会显示用户预期的站点目的地。

第二种技术之所以有效，是因为HTTPS连接中的SNI字段未加密，类似地允许第三方确定HTTPS连接要去往哪个站点。

但在过去的十年里，已经创建并发布了新的互联网协议来解决这两个问题。

当组合使用TLS 1.3和ESNI(服务器名称标识)时，还可以防止SNI泄漏。

无论是在浏览器中，还是在全球的云提供商和网站中，这些协议都在慢慢获得采用，没有什么更好的迹象表明，这些新协议的工作效果与中国更新其长城防火墙审查工具来阻止依赖TLS 1.3和ESNI的HTTPS流量一样好。

俄罗斯不使用国家防火墙系统，但莫斯科政权依赖于一种名为SSORM的系统，该系统允许执法部门出于执法目的，在电信数据中心从源头拦截互联网流量。

此外，俄罗斯电信部Roskomnadzor通过其对当地互联网服务提供商的监管权力，一直在运行事实上的国家防火墙。在过去的十年里，Roskomnadzor一直在禁止它认为危险的网站，并要求ISP过滤他们的流量，阻止对各自网站的访问。

随着TLS 1.3、DOH、DOT和ESNI的采用，俄罗斯目前的所有监视和审查工具都将变得毫无用处，因为它们依赖于访问从加密的网络流量中泄露的网站标识符。

和中国一样，俄罗斯也在打击这些新技术。根据拟议的法律修正案，任何利用技术在加密流量中隐藏网站标识符的公司或网站，在发出一天警告后，将在俄罗斯境内被禁止。

拟议的法律目前正在进行公开辩论，等待公众反馈，直到下个月，也就是10月5日。

考虑到这项法律修正案带来的战略、政治和情报利益，几乎可以肯定修正案会获得通过。