أعلنت Mozilla عن تضمين الدعم لمستخدمي الفرع الثابت من Firefox لآلية ECH (Encrypted Client Hello)، والتي تواصل تطوير تقنية ESNI (إشارة اسم الخادم المشفر) والمصممة لتشفير المعلومات حول معلمات جلسات TLS ، مثل اسم المجال المطلوب. تمت إضافة التعليمات البرمجية الخاصة بالعمل مع ECH في الأصل إلى إصدار Firefox 85، ولكن تم تعطيلها افتراضيًا. بدأ Chrome تدريجيًا في تضمين دعم ECH بدءًا من إصدار Chrome 115.
بالإضافة إلى التواصل مع الخادم يتم تسريب معلومات النطاق المطلوبة عبر نظام أسماء النطاقات (DNS). وللحصول على حماية كاملة، بالإضافة إلى تشفير البيانات المحسّن (ECH)، يجب عليك استخدام DNS عبر HTTPS أو DNS عبر TLS لتشفير حركة مرور DNS. لن يستخدم متصفح Firefox تشفير البيانات المحسّن (ECH) ما لم يتم تفعيل DNS عبر HTTPS في الإعدادات. يمكنك التحقق من دعم تشفير البيانات المحسّن (ECH) في متصفحك من خلال هذه الصفحة.
أحد العوامل التي مكنت دعم ECH بشكل افتراضي في Firefox كان تضمين Cloudflare لدعم ECH في شبكة توصيل المحتوى الخاصة بها قبل بضعة أيام. على الجانب العملي، نظرًا لأن البيانات المتعلقة بالمضيفين المطلوبين عند استخدام ECH تكون مخفية عن التحليل، فإن تصفية وحظر المواقع غير المرغوب فيها باستخدام Cloudflare CDN ستتطلب الآن حظر شبكة Cloudflare بالكامل، أو حظر جميع الطلبات من ECH، أو تنظيم اعتراض HTTPS باستخدام شهادات جذر مزيفة. على نظام المستخدم.
في البداية، لتنظيم العمل على عنوان IP واحد لعدة مواقع HTTPS، تم استخدام امتداد TLS SNI، حيث تمت الإشارة إلى اسم المضيف المطلوب في رسالة ClientHello المرسلة قبل إنشاء قناة اتصال مشفرة. أتاحت هذه الميزة توزيع الطلبات عبر المضيفين الظاهريين في مرحلة مبكرة من معالجة الاتصال، ولكنها أتاحت أيضًا من جانب مزود خدمة الإنترنت تصفية حركة مرور HTTPS بشكل انتقائي وتحليل المواقع التي يفتحها المستخدم، مما لم يسمح بتحقيق السرية الكاملة عند الاستخدام HTTPS.
لحل هذه المشكلة ومنع تسرب المعلومات حول الموقع المطلوب، تم اقتراح ملحق ESNI لاحقًا لتنفيذ تشفير البيانات باسم المضيف. أثناء تنفيذ ESNI، تم الكشف عن أن الآلية المقترحة لا تغطي جميع المصادر المحتملة لتسرب بيانات المضيف واستخدامها لا يكفي لضمان السرية الكاملة لجلسات HTTPS. على وجه الخصوص، عند استئناف جلسة تم إنشاؤها مسبقًا، استمر تحديد اسم المجال بنص واضح بين معلمات ملحق PSK (المفتاح المشترك مسبقًا) TLS. بالإضافة إلى ذلك، حددت الجهود المبذولة لتنفيذ ESNI مشكلات التوافق والقياس التي حالت دون اعتماد ESNI على نطاق واسع.
مع الأخذ في الاعتبار أوجه القصور المحددة في ESNI، تم تطوير آلية ECH عالمية جديدة تسمح بتشفير معلمات أي امتدادات TLS. من الناحية الفنية، يتمثل الاختلاف الرئيسي بين ECH وESNI في أنه بدلاً من الحقول الفردية، يتم تشفير رسالة ClientHello بأكملها مرة واحدة. تتضمن ECH تقسيم ClientHello إلى رسالتين منفصلتين - رسالة ClientHelloInner المشفرة (SNI Inner) ورسالة ClientHelloOuter الأساسية غير المشفرة (SNI Outer). يحمل SNI Outer غير المشفر بيانات غير متعلقة بالخصوصية مثل إصدار TLS وقائمة من الأصفار المستخدمة، بالإضافة إلى اسم نطاق شائع لا يتداخل مع الاسم الفعلي للمجال المطلوب. على سبيل المثال، بالنسبة لجميع عملاء Cloudflare، يحدد SNI Outer غير المشفر المضيف المشترك "cloudflare-ech.com"، ولكن يتم إرسال الاسم الفعلي للمضيف المطلوب في SNI Inner المشفر ولا يكون متاحًا للتحليل.
يستخدم ECH أيضًا آلية توزيع مفاتيح تشفير مختلفة: حيث تُنقل معلومات المفتاح العام عبر سجلات نظام أسماء النطاقات HTTPSSVC بدلاً من سجلات TXT. ويُستخدم تشفير موثق من طرف إلى طرف، قائم على آلية HPKE (التشفير الهجين للمفتاح العام)، للحصول على المفتاح وتشفيره. كما يدعم ECH إعادة إرسال المفتاح بشكل آمن من الخادم، وهو ما يمكن استخدامه في حالة تغيير المفتاح. الخادم ولحل المشكلات المتعلقة باسترداد المفاتيح القديمة من ذاكرة التخزين المؤقت لنظام أسماء النطاقات (DNS).
المصدر: opennet.ru
