🥇Firefox и Cloudflare вече поддържат ECH за скриване на домейн в HTTPS трафик

Mozilla обяви включването на поддръжка за потребителите на стабилния клон на Firefox за механизма ECH (Encrypted Client Hello), който продължава развитието на технологията ESNI (Encrypted Server Name Indication) и е предназначен да криптира информация за параметрите на TLS сесии , като например заявеното име на домейн. Кодът за работа с ECH първоначално беше добавен към версията на Firefox 85, но беше деактивиран по подразбиране. Chrome постепенно започна да включва поддръжка на ECH, като се започне с пускането на Chrome 115.

Тъй като освен свързването с сървър Заявената информация за домейна е изтекла чрез DNS. За пълна защита, в допълнение към ECH, трябва да използвате DNS през HTTPS или DNS през TLS за криптиране на DNS трафика. Firefox няма да използва ECH без да активира DNS през HTTPS в настройките. Можете да проверите поддръжката на ECH във вашия браузър на тази страница.

Един от факторите, които активираха поддръжката на ECH по подразбиране във Firefox, беше включването на поддръжка на ECH от Cloudflare в своята мрежа за доставка на съдържание преди няколко дни. От практическа гледна точка, тъй като данните за заявените хостове при използване на ECH са скрити от анализ, филтрирането и блокирането на нежелани сайтове с помощта на Cloudflare CDN сега ще изисква блокиране на цялата мрежа на Cloudflare, блокиране на всички заявки от ECH или организиране на прихващане на HTTPS с помощта на фалшиви основни сертификати на потребителската система.

Първоначално за организиране на работа на един IP адрес на няколко HTTPS сайта беше използвано TLS разширението SNI, в което името на искания хост беше посочено в съобщението ClientHello, предадено преди установяване на криптиран комуникационен канал. Тази функция направи възможно разпределянето на заявки между виртуални хостове на ранен етап от обработката на връзката, но също така направи възможно от страна на ISP да филтрира избирателно HTTPS трафик и да анализира кои сайтове отваря потребителят, което не позволи постигането на пълна поверителност при използване HTTPS.

За да се реши този проблем и да се предотврати изтичането на информация за искания сайт, по-късно беше предложено разширение ESNI, което прилага криптиране на данни с името на хоста. По време на внедряването на ESNI беше разкрито, че предложеният механизъм не покрива всички възможни източници на изтичане на данни от хоста и използването му не е достатъчно, за да се гарантира пълна поверителност на HTTPS сесиите. По-специално, при възобновяване на предишна сесия, името на домейна в ясен текст продължава да бъде посочено сред параметрите на PSK (предварително споделен ключ) TLS разширение. В допълнение, усилията за внедряване на ESNI идентифицираха проблеми със съвместимостта и мащабирането, които попречиха на широкото приемане на ESNI.

Като се вземат предвид идентифицираните недостатъци на ESNI, беше разработен нов универсален ECH механизъм, който позволява криптиране на параметрите на всякакви TLS разширения. Технически, основната разлика между ECH и ESNI е, че вместо отделни полета, цялото ClientHello съобщение е криптирано наведнъж. ECH включва разделянето на ClientHello на две отделни съобщения - криптираното съобщение ClientHelloInner (SNI Inner) и некриптираното основно съобщение ClientHelloOuter (SNI Outer). Некриптиран SNI Outer носи данни, които не са свързани с поверителността, като версията на TLS и списък с използвани шифри, както и общо име на домейн, което не се припокрива с действителното име на искания домейн. Например, за всички клиенти на Cloudflare некриптираният SNI Outer указва общия хост „cloudflare-ech.com“, но действителното име на искания хост се предава в криптирания SNI Inner и не е достъпно за анализ.

Firefox и Cloudflare позволяват ECH поддръжка за скриване на домейн в HTTPS трафик

ECH използва и различна схема за разпространение на ключове за криптиране: информацията за публичния ключ се предава в HTTPSSVC DNS записи, а не в TXT записи. За получаване и криптиране на ключа се използва удостоверено криптиране от край до край, базирано на механизма HPKE (Hybrid Public Key Encryption). ECH също така поддържа защитено повторно предаване на ключ от сървъра, което може да се използва в случай на ротация на ключа. сървър и за разрешаване на проблеми с извличането на остарели ключове от DNS кеша.

Източник: opennet.ru

Firefox и Cloudflare позволяват ECH поддръжка за скриване на домейн в HTTPS трафик