ሞዚላ የ ESNI (የተመሰጠረ የአገልጋይ ስም ማመላከቻ) ቴክኖሎጂ እድገትን የሚቀጥል እና ስለ TLS ክፍለ ጊዜዎች መለኪያዎች መረጃን ለማመስጠር የተነደፈውን የተረጋጋ የፋየርፎክስ ቅርንጫፍ ለኤሲኤች (የተመሰጠረ ደንበኛ ሄሎ) ዘዴ ለተጠቃሚዎች ድጋፍ ማካተቱን አስታውቋል። እንደ የተጠየቀው የጎራ ስም። ከ ECH ጋር ለመስራት ኮድ በመጀመሪያ ወደ ፋየርፎክስ 85 መለቀቅ ታክሏል ነገር ግን በነባሪነት ተሰናክሏል። Chrome ከ Chrome 115 መለቀቅ ጀምሮ ቀስ በቀስ የ ECH ድጋፍን ማካተት ጀመረ።
ከማገናኘት በተጨማሪ አገልጋይ የተጠየቀው የጎራ መረጃ በዲኤንኤስ በኩል ተለቋል። ለሙሉ ጥበቃ፣ ከኢኤችኤች በተጨማሪ፣ የዲኤንኤስ ትራፊክን ለማመስጠር በቲኤልኤስ ላይ ዲኤንኤስን በኤችቲቲፒኤስ ላይ ወይም ዲኤንኤስን በቲኤልኤስ ላይ መጠቀም አለብዎት። ፋየርፎክስ በቅንብሮች ውስጥ ዲኤንኤስን በኤችቲቲፒኤስ ላይ ሳያነቃ ECHን አይጠቀምም። በዚህ ገጽ ላይ በአሳሽዎ ውስጥ የECH ድጋፍን ማረጋገጥ ይችላሉ።
በፋየርፎክስ ውስጥ የECH ድጋፍን በነባሪነት ካስቻሉት ነገሮች ውስጥ Cloudflare ከጥቂት ቀናት በፊት የኢኤችኤች ድጋፍን በይዘት ማቅረቢያ አውታረመረብ ውስጥ ማካተት ነው። በተግባራዊው በኩል፣ ECH ሲጠቀሙ ስለተጠየቁት አስተናጋጆች መረጃ ከመተንተን የተደበቀ በመሆኑ፣ Cloudflare CDN ን በመጠቀም ያልተፈለጉ ጣቢያዎችን ማጣራት እና ማገድ አሁን አጠቃላይ የ Cloudflare አውታረ መረብን ማገድ፣ ሁሉንም ከ ECH የሚቀርቡ ጥያቄዎችን ማገድ ወይም የኤችቲቲፒኤስ ጣልቃ ገብነት የውሸት ሰርተፊኬቶችን ማደራጀት ይጠይቃል። በተጠቃሚ ስርዓት ላይ.
መጀመሪያ ላይ በበርካታ የኤችቲቲፒኤስ ጣቢያዎች በአንድ የአይ ፒ አድራሻ ላይ ስራን ለማደራጀት የቲኤልኤስ ቅጥያ SNI ጥቅም ላይ የዋለ ሲሆን የተጠየቀው አስተናጋጅ ስም የተመሰጠረ የመገናኛ ቻናል ከመመሥረቱ በፊት በሚተላለፈው የClientHello መልእክት ውስጥ ተጠቅሷል። ይህ ባህሪ በግንኙነት ሂደት መጀመሪያ ላይ በምናባዊ አስተናጋጆች ላይ ጥያቄዎችን ለማሰራጨት አስችሏል፣ ነገር ግን በ ISP በኩል የኤችቲቲፒኤስ ትራፊክን መርጦ ለማጣራት እና ተጠቃሚው የትኛዎቹን ጣቢያዎች እንደሚከፍት ለመመርመር አስችሏል ፣ ይህም ሲጠቀሙ ሙሉ ምስጢራዊነትን ማግኘት አልፈቀደም ። HTTPS
ይህንን ችግር ለመፍታት እና ስለተጠየቀው ጣቢያ መረጃ እንዳይፈስ ለመከላከል፣ በአስተናጋጁ ስም የመረጃ ምስጠራን ተግባራዊ የሚያደርግ የESNI ቅጥያ ቀርቦ ነበር። በESNI አተገባበር ወቅት፣ የታቀደው ዘዴ ሁሉንም የአስተናጋጅ መረጃ ፍሰት ምንጮችን እንደማይሸፍን እና አጠቃቀሙ የኤችቲቲፒኤስ ክፍለ ጊዜዎችን ሙሉ ምስጢራዊነት ለማረጋገጥ በቂ አለመሆኑን ተገለፀ። በተለይም፣ ከዚህ ቀደም የተቋቋመውን ክፍለ ጊዜ ከቆመበት ሲቀጥል፣ በግልጽ ጽሑፍ ውስጥ ያለው የጎራ ስም ከPSK (ቅድመ-የተጋራ ቁልፍ) TLS ቅጥያ መለኪያዎች መካከል መገለጹን ቀጥሏል። በተጨማሪም ኢኤስኤንአይ ተግባራዊ ለማድረግ የተደረገው ጥረት የተኳሃኝነት እና የESNI ሰፊ ተቀባይነት እንዳይኖረው ያደረጉ ጉዳዮችን ለይቷል።
የተለዩትን የESNI ድክመቶች ከግምት ውስጥ በማስገባት የማንኛውም የቲኤልኤስ ቅጥያ መለኪያዎችን ምስጠራ የሚፈቅድ አዲስ ሁለንተናዊ የ ECH ዘዴ ተፈጠረ። በቴክኒክ፣ በ ECH እና ESNI መካከል ያለው ዋና ልዩነት ከግላዊ መስኮች ይልቅ፣ ሙሉው የClientHello መልእክት በአንድ ጊዜ መመስጠር ነው። ECH ClientHelloን በሁለት የተለያዩ መልእክቶች መከፋፈልን ያካትታል - ኢንክሪፕት የተደረገው የClientHelloInner መልእክት (SNI Inner) እና ያልተመሰጠረ ከስር ClientHelloOuter መልዕክት (SNI Outer)። ያልተመሰጠረ SNI Outer እንደ TLS እትም እና ጥቅም ላይ የዋሉ የምስክሮች ዝርዝር እና እንዲሁም ከተጠየቀው ጎራ ትክክለኛ ስም ጋር የማይጣመር የጋራ የጎራ ስም ያሉ የግላዊነት ያልሆኑ መረጃዎችን ይይዛል። ለምሳሌ ለሁሉም የ Cloudflare ደንበኞች ያልተመሰጠረ SNI Outer የጋራ አስተናጋጁን "cloudflare-ech.com" ይገልፃል ነገር ግን የተጠየቀው አስተናጋጅ ትክክለኛ ስም ኢንክሪፕት በተደረገው SNI Inner ውስጥ ይተላለፋል እና ለመተንተን አይገኝም።
ECH እንዲሁም የተለየ የኢንክሪፕሽን ቁልፍ ስርጭት ዘዴ ይጠቀማል፡ የህዝብ ቁልፍ መረጃ በHTTPSVC DNS መዝገቦች ውስጥ ከ TXT መዝገቦች ይልቅ ይተላለፋል። ቁልፉን ለማግኘት እና ለማመስጠር በ HPKE (Hybrid Public Key Encryption) ዘዴ ላይ የተመሠረተ የተረጋገጠ ከጫፍ እስከ ጫፍ ምስጠራ ጥቅም ላይ ይውላል። ECH እንዲሁም የቁልፍ ሽክርክር በሚከሰትበት ጊዜ ከአገልጋዩ ደህንነቱ የተጠበቀ የቁልፍ ዳግም ማስተላለፍን ይደግፋል። አገልጋይ እና ጊዜ ያለፈባቸውን ቁልፎች ከዲ ኤን ኤስ መሸጎጫ በማውጣት ላይ ያሉ ችግሮችን ለመፍታት።
ምንጭ: opennet.ru
