Gipahibalo sa Mozilla ang paglakip sa suporta alang sa mga tiggamit sa stable nga sanga sa Firefox alang sa mekanismo sa ECH (Encrypted Client Hello), nga nagpadayon sa pag-uswag sa teknolohiya sa ESNI (Encrypted Server Name Indication) ug gidesinyo sa pag-encrypt sa impormasyon mahitungod sa mga parameter sa mga sesyon sa TLS , sama sa gipangayo nga domain name. Ang code alang sa pagtrabaho kauban ang ECH orihinal nga gidugang sa pagpagawas sa Firefox 85, apan gi-disable pinaagi sa default. Ang Chrome hinayhinay nga nagsugod sa paglakip sa suporta sa ECH sugod sa pagpagawas sa Chrome 115.
Tungod kay dugang sa pagkonektar sa server Ang gipangayo nga impormasyon sa domain gipagawas pinaagi sa DNS. Para sa hingpit nga proteksyon, dugang sa ECH, kinahanglan nimong gamiton ang DNS over HTTPS o DNS over TLS aron ma-encrypt ang trapiko sa DNS. Dili gamiton sa Firefox ang ECH kung dili ma-enable ang DNS over HTTPS sa mga setting. Mahimo nimong susihon ang suporta sa ECH sa imong browser niini nga panid.
Usa sa mga hinungdan nga nakapahimo sa suporta sa ECH pinaagi sa default sa Firefox mao ang paglakip sa Cloudflare sa suporta sa ECH sa network sa paghatud sa sulud niini pipila ka adlaw ang milabay. Sa praktikal nga bahin, tungod kay ang datos bahin sa gihangyo nga mga host kung gigamit ang ECH gitago gikan sa pag-analisar, ang pagsala ug pag-block sa mga dili gusto nga mga site gamit ang Cloudflare CDN kinahanglan na karon nga i-block ang tibuuk nga network sa Cloudflare, gibabagan ang tanan nga mga hangyo gikan sa ECH, o pag-organisar sa interception sa HTTPS gamit ang peke nga mga sertipiko sa ugat. sa sistema sa tiggamit.
Sa sinugdan, aron maorganisar ang trabaho sa usa ka IP address sa daghang mga site sa HTTPS, gigamit ang TLS extension SNI, diin ang ngalan sa gihangyo nga host gipakita sa mensahe sa ClientHello nga gipasa sa wala pa magtukod usa ka naka-encrypt nga channel sa komunikasyon. Kini nga bahin nagpaposible sa pag-apod-apod sa mga hangyo sa mga virtual host sa sayo nga yugto sa pagproseso sa koneksyon, apan gihimo usab kini nga posible sa bahin sa ISP nga pilion nga masala ang trapiko sa HTTPS ug analisa kung unsang mga site ang giablihan sa user, nga wala magtugot sa pagkab-ot sa hingpit nga pagkakompidensyal kung gamiton. HTTPS.
Aron masulbad kini nga problema ug mapugngan ang pagtulo sa kasayuran bahin sa gihangyo nga site, usa ka extension sa ESNI ang gisugyot sa ulahi nga nagpatuman sa pag-encrypt sa datos sa ngalan sa host. Atol sa pagpatuman sa ESNI, gipadayag nga ang gisugyot nga mekanismo wala maglakip sa tanan nga posible nga mga tinubdan sa leakage sa data sa host ug ang paggamit niini dili igo aron masiguro ang hingpit nga kompidensyal sa mga sesyon sa HTTPS. Sa partikular, kung ipadayon ang usa ka natukod na nga sesyon, ang ngalan sa domain sa tin-aw nga teksto nagpadayon nga gipiho taliwala sa mga parameter sa PSK (Pre-Shared Key) TLS extension. Dugang pa, ang mga paningkamot sa pag-implementar sa ESNI nakaila sa mga isyu sa pagkaangay ug pag-scale nga nakapugong sa kaylap nga pagsagop sa ESNI.
Gikonsiderar ang nahibal-an nga mga kakulangan sa ESNI, usa ka bag-ong unibersal nga mekanismo sa ECH ang naugmad nga nagtugot sa pag-encrypt sa mga parameter sa bisan unsang mga extension sa TLS. Sa teknikal nga paagi, ang nag-unang kalainan tali sa ECH ug ESNI mao nga imbes nga indibidwal nga mga natad, ang tibuuk nga mensahe sa ClientHello gi-encrypt dayon. Ang ECH naglakip sa pagbahin sa ClientHello ngadto sa duha ka managlahing mensahe - ang naka-encrypt nga mensahe sa ClientHelloInner (SNI Inner) ug ang wala ma-encrypt nga nagpahiping mensahe sa ClientHelloOuter (SNI Outer). Ang usa ka wala ma-encrypt nga SNI Outer nagdala sa dili-privacy data sama sa TLS nga bersyon ug usa ka lista sa mga cipher nga gigamit, ingon man usa ka komon nga ngalan sa domain nga wala mag-overlap sa aktwal nga ngalan sa gihangyo nga domain. Pananglitan, alang sa tanan nga mga kliyente sa Cloudflare, ang wala ma-encrypt nga SNI Outer nagtino sa sagad nga host "cloudflare-ech.com", apan ang tinuud nga ngalan sa gihangyo nga host gipasa sa naka-encrypt nga SNI Inner ug dili magamit alang sa pagtuki.
Ang ECH naggamit usab ug lahi nga pamaagi sa pag-apod-apod sa encryption key: ang impormasyon sa public key gipadala sa HTTPSSVC DNS records imbes sa TXT records. Ang authenticated end-to-end encryption base sa HPKE (Hybrid Public Key Encryption) mechanism gigamit aron makuha ug ma-encrypt ang key. Gisuportahan usab sa ECH ang secure key retransmission gikan sa server, nga magamit kung adunay key rotation. server ug aron masulbad ang mga isyu sa pagkuha sa mga karaan na nga yawe gikan sa DNS cache.
Source: opennet.ru
