Mozilla hà annunziatu l'inclusione di supportu per l'utilizatori di u ramu stabile di Firefox per u mecanismu ECH (Encrypted Client Hello), chì cuntinua u sviluppu di a tecnulugia ESNI (Encrypted Server Name Indication) è hè pensatu per criptà l'infurmazioni nantu à i paràmetri di e sessioni TLS. , cum'è u nome di duminiu dumandatu. U codice per travaglià cù ECH hè statu inizialmente aghjuntu à a versione Firefox 85, ma hè stata disattivata per automaticamente. Chrome hà cuminciatu gradualmente à include u supportu ECH à partesi da a liberazione di Chrome 115.
Siccomu in più di cunnette si cù servitore L'infurmazioni di duminiu dumandate sò state filtrate via DNS. Per una prutezzione cumpleta, in più di ECH, duvete aduprà DNS via HTTPS o DNS via TLS per criptà u trafficu DNS. Firefox ùn aduprerà micca ECH senza attivà DNS via HTTPS in i paràmetri. Pudete verificà u supportu ECH in u vostru navigatore in questa pagina.
Unu di i fatturi chì hà permessu u supportu ECH per difettu in Firefox era l'inclusione di Cloudflare di u supportu ECH in a so rete di distribuzione di cuntenutu pochi ghjorni fà. In u latu praticu, postu chì e dati nantu à l'ospiti richiesti quandu utilizanu ECH sò oculati da l'analisi, filtrà è bluccà siti indesiderati chì utilizanu Cloudflare CDN avà bisognu di bluccà tutta a reta di Cloudflare, bluccà tutte e richieste da ECH, o urganizà l'intercepzione HTTPS utilizendu certificati radichi falsi. nantu à u sistema di l'utilizatori.
Inizialmente, per urganizà u travagliu nantu à un indirizzu IP di parechji siti HTTPS, l'estensione TLS SNI hè stata utilizata, in quale u nome di l'ospitu dumandatu hè statu indicatu in u messagiu ClientHello trasmessu prima di stabilisce un canali di cumunicazione criptata. Questa funzione hà permessu di distribuisce e dumande in l'ospiti virtuali in una prima fase di u processu di cunnessione, ma hà ancu permessu da u latu di l'ISP di filtrà selettivamente u trafficu HTTPS è analizà quali siti apre l'utilizatori, chì ùn permettenu micca di ottene una cunfidenziale cumpleta quandu si usa. HTTPS.
Per risolve stu prublema è impedisce a fuga di informazioni nantu à u situ dumandatu, una estensione ESNI hè stata pruposta dopu chì implementa a criptografia di dati cù u nome di l'ospitu. Duranti l'implementazione di ESNI, hè statu revelatu chì u mecanismu prupostu ùn copre micca tutte e pussibuli fonti di fuga di dati di l'ospiti è u so usu ùn hè micca abbastanza per assicurà a cunfidenziale cumpleta di e sessioni HTTPS. In particulare, quandu ripiglià una sessione stabilita prima, u nome di duminiu in u testu chjaru cuntinuava à esse specificatu trà i paràmetri di l'estensione TLS PSK (Pre-Shared Key). Inoltre, i sforzi per implementà ESNI anu identificatu prublemi di cumpatibilità è scala chì anu impeditu l'adopzione generalizata di ESNI.
In cunsiderà i difetti identificati di ESNI, hè statu sviluppatu un novu mecanismu ECH universale chì permette a criptografia di i paràmetri di qualsiasi estensione TLS. Tecnicamente, a principal diferenza trà ECH è ESNI hè chì invece di campi individuali, tuttu u messagiu ClientHello hè criptatu in una volta. ECH implica a divisione di u ClientHello in dui missaghji separati - u messagiu ClientHelloInner criptatu (SNI Inner) è u missaghju ClientHelloOuter (SNI Outer). Un SNI Outer non criptatu porta dati micca di privacy cum'è a versione TLS è una lista di cifru utilizati, è ancu un nome di duminiu cumuni chì ùn si sovrappone micca cù u nome propiu di u duminiu dumandatu. Per esempiu, per tutti i clienti Cloudflare, u SNI Outer non criptatu specifica l'ospiti cumuni "cloudflare-ech.com", ma u nome propiu di l'ospite dumandatu hè trasmessu in u SNI Inner criptatu è ùn hè micca dispunibule per l'analisi.
ECH usa ancu un schema di distribuzione di chjave di crittografia differente: l'infurmazioni di chjave publica sò trasmesse in registri DNS HTTPSSVC piuttostu chè in registri TXT. A crittografia autenticata end-to-end basata annantu à u mecanismu HPKE (Hybrid Public Key Encryption) hè aduprata per ottene è crittografia a chjave. ECH supporta ancu a ritrasmissione sicura di chjave da u servitore, chì pò esse aduprata in casu di rotazione di chjave. servitore è per risolve i prublemi cù u recuperu di chjave obsolete da a cache DNS.
Source: opennet.ru
