Mozilla on ilmoittanut ottavansa mukaan tuen Firefoxin vakaan haaran käyttäjille ECH (Encrypted Client Hello) -mekanismille, joka jatkaa ESNI (Encrypted Server Name Indication) -teknologian kehitystä ja on suunniteltu salaamaan tietoja TLS-istuntojen parametreista. , kuten pyydetty verkkotunnus. Koodi ECH:n kanssa työskentelyä varten lisättiin alun perin Firefox 85 -julkaisuun, mutta se oli oletuksena poistettu käytöstä. Chrome alkoi vähitellen sisältää ECH-tuen Chrome 115:n julkaisusta alkaen.
Koska yhteydenpidon lisäksi palvelin Pyydetyt verkkotunnustiedot vuotavat DNS:n kautta. Täyden suojauksen saavuttamiseksi sinun on ECH:n lisäksi käytettävä DNS HTTPS:n kautta tai DNS TLS:n kautta salataksesi DNS-liikenteen. Firefox ei käytä ECH:ta ottamatta DNS HTTPS:n kautta käyttöön asetuksissa. Voit tarkistaa selaimesi ECH-tuen tällä sivulla.
Yksi tekijöistä, jotka mahdollistivat ECH-tuen oletuksena Firefoxissa, oli Cloudflaren ECH-tuen sisällyttäminen sisällönjakeluverkkoonsa muutama päivä sitten. Käytännön puolella, koska tiedot pyydetyistä isännistä ECH:ta käytettäessä on piilotettu analysoimiselta, ei-toivottujen sivustojen suodattaminen ja estäminen Cloudflare CDN:n avulla edellyttää nyt koko Cloudflare-verkon estämistä, kaikkien ECH:n pyyntöjen estämistä tai HTTPS-sieppauksen järjestämistä väärennetyillä juurivarmenteilla. käyttäjäjärjestelmässä.
Aluksi useiden HTTPS-sivustojen yhden IP-osoitteen työn järjestämiseen käytettiin TLS-laajennus SNI:tä, jossa pyydetyn isännän nimi ilmoitettiin ennen salatun viestintäkanavan muodostamista lähetetyssä ClientHello-sanomassa. Tämä ominaisuus mahdollisti pyyntöjen jakamisen virtuaalisten isäntien välillä yhteydenkäsittelyn varhaisessa vaiheessa, mutta mahdollisti myös Internet-palveluntarjoajan puolella HTTPS-liikenteen valikoivan suodattamisen ja analysoinnin, mitkä sivustot käyttäjä avaa, mikä ei mahdollistanut täydellistä luottamuksellisuutta käytettäessä. HTTPS.
Tämän ongelman ratkaisemiseksi ja pyydettyä sivustoa koskevien tietojen vuotamisen estämiseksi ehdotettiin myöhemmin ESNI-laajennusta, joka toteuttaa tietojen salauksen isäntänimellä. ESNI:n käyttöönoton aikana paljastui, että ehdotettu mekanismi ei kata kaikkia mahdollisia isäntätietovuodon lähteitä eikä sen käyttö riitä takaamaan HTTPS-istuntojen täydellistä luottamuksellisuutta. Erityisesti, kun jatketaan aiemmin muodostettua istuntoa, verkkotunnuksen nimi selkeässä tekstissä määritettiin edelleen PSK (Pre-Shared Key) TLS-laajennuksen parametrien joukossa. Lisäksi ESNI:n käyttöönottoyritykset ovat tunnistaneet yhteensopivuus- ja skaalausongelmia, jotka ovat estäneet ESNI:n laajan käyttöönoton.
ESNI:n tunnistetut puutteet huomioon ottaen kehitettiin uusi yleinen ECH-mekanismi, joka mahdollistaa minkä tahansa TLS-laajennusten parametrien salauksen. Teknisesti suurin ero ECH:n ja ESNI:n välillä on, että yksittäisten kenttien sijaan koko ClientHello-viesti salataan kerralla. ECH sisältää ClientHellon jakamisen kahdeksi erilliseksi viestiksi - salattuun ClientHelloInner-viestiin (SNI Inner) ja salaamattomaan taustalla olevaan ClientHelloOuter-viestiin (SNI Outer). Salaamaton SNI Outer sisältää ei-yksityisyystietoja, kuten TLS-version ja luettelon käytetyistä salakirjoista, sekä yleisen verkkotunnuksen nimen, joka ei ole päällekkäinen pyydetyn toimialueen todellisen nimen kanssa. Esimerkiksi kaikille Cloudflare-asiakkaille salaamaton SNI Outer määrittää yhteisen isännän "cloudflare-ech.com", mutta pyydetyn isännän todellinen nimi lähetetään salatussa SNI Innerissä, eikä se ole käytettävissä analysoitavaksi.
ECH käyttää myös erilaista salausavainten jakelujärjestelmää: julkisen avaimen tiedot lähetetään HTTPSSVC DNS -tietueissa TXT-tietueiden sijaan. Avaimen hankkimiseen ja salaamiseen käytetään todennettua päästä päähän -salausta, joka perustuu HPKE (Hybrid Public Key Encryption) -mekanismiin. ECH tukee myös suojattua avaimen uudelleenlähetystä palvelimelta, jota voidaan käyttää avainten kierrätyksen yhteydessä. palvelin ja ratkaista ongelmia vanhentuneiden avainten hakemisessa DNS-välimuistista.
Lähde: opennet.ru
