Mozilla hat it opnimmen fan stipe foar brûkers fan 'e stabile tûke fan Firefox oankundige foar it ECH (Encrypted Client Hello) meganisme, dat de ûntwikkeling fan ESNI (Encrypted Server Name Indication) technology trochgiet en is ûntworpen om ynformaasje te fersiferjen oer de parameters fan TLS-sesjes , lykas de frege domeinnamme. Koade foar wurkjen mei ECH waard oarspronklik tafoege oan de Firefox 85-release, mar wie standert útskeakele. Chrome begon stadichoan ECH-stipe op te nimmen, begjinnend mei de frijlitting fan Chrome 115.
Omdat neist it ferbinen mei tsjinner Oanfrege domeinynformaasje wurdt lekt fia DNS. Foar folsleine beskerming moatte jo, neist ECH, DNS oer HTTPS of DNS oer TLS brûke om DNS-ferkear te fersiferjen. Firefox sil gjin ECH brûke sûnder DNS oer HTTPS yn te skeakeljen yn 'e ynstellings. Jo kinne ECH-stipe yn jo browser kontrolearje op dizze pagina.
Ien fan 'e faktoaren dy't ECH-stipe standert ynskeakele yn Firefox, wie Cloudflare's opname fan ECH-stipe yn har netwurk foar ynhâldlevering in pear dagen lyn. Oan 'e praktyske kant, om't gegevens oer de oanfrege hosts by it brûken fan ECH binne ferburgen foar analyse, sil it filterjen en blokkearjen fan net-winske siden mei Cloudflare CDN no it blokkearjen fan it heule Cloudflare-netwurk fereaskje, alle oanfragen fan ECH blokkearje, of HTTPS-ûnderskepping organisearje mei falske root-sertifikaten op brûker systeem.
Yn it earstoan, om wurk te organisearjen op ien IP-adres fan ferskate HTTPS-siden, waard de TLS-útwreiding SNI brûkt, wêryn de namme fan 'e oanfrege host waard oanjûn yn it ClientHello-berjocht dat ferstjoerd waard foardat in fersifere kommunikaasjekanaal opstelde. Dizze funksje makke it mooglik om fersiken oer firtuele hosts te fersprieden yn in ier stadium fan ferbiningsferwurking, mar makke it ek mooglik oan 'e ISP-kant om selektyf HTTPS-ferkear te filterjen en te analysearjen hokker siden de brûker iepenet, wat net tastien is om folsleine fertroulikens te berikken by it brûken fan HTTPS.
Om dit probleem op te lossen en lekken fan ynformaasje oer de oanfrege side te foarkommen, waard letter in ESNI-útwreiding foarsteld dy't gegevensfersifering ymplementearret mei de hostnamme. Tidens de ymplemintaasje fan ESNI waard iepenbiere dat it foarstelde meganisme net alle mooglike boarnen fan hostgegevenslekkage dekt en it gebrûk is net genôch om folsleine fertroulikens fan HTTPS-sesjes te garandearjen. Benammen by it hervatten fan in earder fêststelde sesje, bleau de domeinnamme yn dúdlike tekst oanjûn ûnder de parameters fan 'e PSK (Pre-Shared Key) TLS-útwreiding. Derneist hawwe ynspanningen om ESNI te ymplementearjen problemen mei kompatibiliteit en skaalfergrutting identifisearre dy't wiidferspraat oannimmen fan ESNI hawwe foarkommen.
Mei it rekkenjen fan de identifisearre tekoarten fan ESNI, waard in nij universele ECH-meganisme ûntwikkele dat fersifering fan de parameters fan alle TLS-útwreidings mooglik makket. Technysk is it wichtichste ferskil tusken ECH en ESNI dat ynstee fan yndividuele fjilden it hiele ClientHello-berjocht tagelyk fersifere wurdt. ECH omfettet it splitsen fan de ClientHello yn twa aparte berjochten - it fersifere ClientHelloInner-berjocht (SNI Inner) en it net-fersifere ûnderlizzende ClientHelloOuter-berjocht (SNI Outer). In net-fersifere SNI Outer draacht net-privacy gegevens lykas de TLS ferzje en in list mei sifers brûkt, likegoed as in mienskiplike domeinnamme dy't net oerlaapje mei de eigentlike namme fan it frege domein. Bygelyks, foar alle Cloudflare-kliïnten spesifisearret de net-fersifere SNI Outer de mienskiplike host "cloudflare-ech.com", mar de eigentlike namme fan 'e frege host wurdt oerdroegen yn' e fersifere SNI Inner en is net beskikber foar analyse.
ECH brûkt ek in oar skema foar it ferdielen fan fersiferingskaaien: ynformaasje oer iepenbiere kaaien wurdt oerdroegen yn HTTPSSVC DNS-records ynstee fan TXT-records. Autentisearre end-to-end fersifering basearre op it HPKE (Hybrid Public Key Encryption) meganisme wurdt brûkt om de kaai te krijen en te fersiferjen. ECH stipet ek feilige kaai-weromstjoering fan 'e server, dy't brûkt wurde kin yn gefal fan kaairotaasje. server en om problemen op te lossen mei it opheljen fan ferâldere kaaien út 'e DNS-cache.
Boarne: opennet.ru
