Mozilla je najavila uključivanje podrške za korisnike stabilne grane Firefoxa za ECH (Encrypted Client Hello) mehanizam, koji nastavlja razvoj ESNI (Encrypted Server Name Indication) tehnologije i dizajniran je za šifriranje informacija o parametrima TLS sesija , kao što je traženo ime domene. Kôd za rad sa ECH prvobitno je dodat u Firefox 85 izdanje, ali je po defaultu onemogućen. Chrome je postepeno počeo da uključuje ECH podršku počevši od izdanja Chrome 115.
Budući da pored povezivanja sa server Tražene informacije o domeni su procurile putem DNS-a. Za potpunu zaštitu, pored ECH-a, morate koristiti DNS preko HTTPS-a ili DNS preko TLS-a za šifriranje DNS prometa. Firefox neće koristiti ECH bez omogućavanja DNS-a preko HTTPS-a u postavkama. Podršku za ECH u vašem pregledniku možete provjeriti na ovoj stranici.
Jedan od faktora koji je omogućio ECH podršku po defaultu u Firefoxu je Cloudflareovo uključivanje ECH podrške u svoju mrežu za isporuku sadržaja prije nekoliko dana. S praktične strane, budući da su podaci o traženim hostovima pri korištenju ECH-a skriveni od analize, filtriranje i blokiranje neželjenih stranica pomoću Cloudflare CDN-a sada će zahtijevati blokiranje cijele Cloudflare mreže, blokiranje svih zahtjeva od ECH-a ili organiziranje HTTPS presretanja korištenjem lažnih root certifikata na korisničkom sistemu.
U početku, za organizaciju rada na jednoj IP adresi nekoliko HTTPS lokacija, korištena je TLS ekstenzija SNI, u kojoj je ime traženog hosta bilo naznačeno u ClientHello poruci koja se prenosi prije uspostavljanja šifriranog komunikacijskog kanala. Ova funkcija je omogućila distribuciju zahtjeva po virtuelnim hostovima u ranoj fazi obrade veze, ali i omogućila na strani ISP-a da selektivno filtrira HTTPS promet i analizira koje stranice korisnik otvara, što nije omogućilo postizanje potpune povjerljivosti prilikom korištenja HTTPS.
Kako bi se riješio ovaj problem i spriječilo curenje informacija o traženoj lokaciji, kasnije je predložena ESNI ekstenzija koja implementira šifriranje podataka s imenom hosta. Tokom implementacije ESNI-a otkriveno je da predloženi mehanizam ne pokriva sve moguće izvore curenja podataka o hostu i njegovo korištenje nije dovoljno da osigura potpunu povjerljivost HTTPS sesija. Konkretno, kada se nastavlja prethodno uspostavljena sesija, ime domena u čistom tekstu nastavilo je da se navodi među parametrima PSK (Pre-Shared Key) TLS ekstenzije. Osim toga, napori da se implementira ESNI identificirali su probleme kompatibilnosti i skaliranja koji su spriječili široko usvajanje ESNI-ja.
Uzimajući u obzir identifikovane nedostatke ESNI, razvijen je novi univerzalni ECH mehanizam koji omogućava šifrovanje parametara bilo koje TLS ekstenzije. Tehnički, glavna razlika između ECH i ESNI je u tome što se umjesto pojedinačnih polja, cijela ClientHello poruka šifrira odjednom. ECH uključuje dijeljenje ClientHello u dvije odvojene poruke - šifrovanu ClientHelloInner poruku (SNI Inner) i nešifrovanu osnovnu ClientHelloOuter poruku (SNI Outer). Nešifrirani SNI Outer nosi podatke koji nisu privatni, kao što su TLS verzija i lista korištenih šifri, kao i zajednički naziv domene koji se ne preklapa sa stvarnim imenom traženog domena. Na primjer, za sve Cloudflare klijente, nešifrirani SNI Outer navodi zajednički host "cloudflare-ech.com", ali se stvarno ime traženog hosta prenosi u šifriranom SNI Inner-u i nije dostupno za analizu.
ECH također koristi drugačiju shemu distribucije ključeva za šifriranje: informacije o javnom ključu se prenose u HTTPSSVC DNS zapisima, a ne u TXT zapisima. Autentificirana end-to-end enkripcija zasnovana na HPKE (Hybrid Public Key Encryption) mehanizmu koristi se za dobijanje i šifriranje ključa. ECH također podržava sigurno ponovno slanje ključa sa servera, što se može koristiti u slučaju rotacije ključa. server i za rješavanje problema s preuzimanjem zastarjelih ključeva iz DNS keša.
izvor: opennet.ru
