Tha Mozilla air ainmeachadh gu bheilear aâ toirt a-steach taic do luchd-cleachdaidh meur seasmhach Firefox airson an uidheamachd ECH (Encrypted Client Hello), a tha aâ leantainn air adhart le leasachadh teicneòlas ESNI (Comhradh Ainm Freiceadan Crioptaichte) agus a tha air a dhealbhadh gus fiosrachadh a chrioptachadh mu pharaimearan seiseanan TLS. , leithid an t-ainm Ă rainn a chaidh iarraidh. Chaidh còd airson a bhith ag obair le ECH a chur ris an fhoillseachadh Firefox 85 an toiseach, ach chaidh a chiorramachadh gu bunaiteach. Mean air mhean thòisich Chrome aâ toirt a-steach taic ECH aâ tòiseachadh le sgaoileadh Chrome 115.
A bharrachd air a bhith aâ ceangal ri frithealaiche Tha fiosrachadh Ă rainn a chaidh iarraidh air a leigeil a-mach tro DNS. Airson lĂ n dhĂŹon, a bharrachd air ECH, feumaidh tu DNS thairis air HTTPS no DNS thairis air TLS a chleachdadh gus trafaic DNS a chrioptachadh. Cha chleachd Firefox ECH Ă s aonais DNS thairis air HTTPS a chomasachadh anns na roghainnean. Faodaidh tu sĂšil a thoirt air taic ECH sa bhrobhsair agad air an duilleag seo.
B âe aon de na factaran a leig le taic ECH gu bunaiteach ann am Firefox gun tug Cloudflare a-steach taic ECH anns an lĂŹonra lĂŹbhrigidh susbaint aige beagan lĂ ithean air ais. Air an taobh phractaigeach, leis gu bheil dĂ ta mu na h-aoighean a chaidh iarraidh nuair a bhios iad aâ cleachdadh ECH falaichte bho mhion-sgrĂšdadh, feumaidh sĂŹoladh agus bacadh lĂ raich nach eileas ag iarraidh aâ cleachdadh Cloudflare CDN a-nis bacadh a chuir air lĂŹonra Cloudflare gu lèir, casg a chuir air a h-uile iarrtas bho ECH, no cuir air dòigh eadar-ghabhail HTTPS aâ cleachdadh teisteanasan freumh meallta. air siostam luchd-cleachdaidh.
An toiseach, gus obair a chuir air dòigh air aon sheòladh IP de ghrunn lĂ raich HTTPS, chaidh an leudachadh TLS SNI a chleachdadh, anns an deach ainm an aoigh a chaidh iarraidh a chomharrachadh anns an teachdaireachd ClientHello a chaidh a chuir a-mach mus deach sianal conaltraidh crioptaichte a stèidheachadh. Rinn am feart seo e comasach iarrtasan a sgaoileadh thairis air luchd-aoigheachd brĂŹgheil aig ĂŹre thrĂ th de ghiullachd ceangail, ach rinn e comasach cuideachd air taobh ISP trafaic HTTPS a shĂŹoladh gu roghnach agus sgrĂšdadh a dhèanamh air na lĂ raich a bhios an neach-cleachdaidh aâ fosgladh, nach leig le dĂŹomhaireachd iomlan a choileanadh nuair a bhios e a âcleachdadh. HTTPS.
Gus an duilgheadas seo fhuasgladh agus casg a chuir air aodion fiosrachaidh mun lĂ rach a chaidh iarraidh, chaidh leudachadh ESNI a mholadh nas fhaide air adhart a chuireas crioptachadh dĂ ta an gnĂŹomh leis an ainm aoigheachd. Rè buileachadh ESNI, chaidh innse nach eil an uidheamachd a chaidh a mholadh aâ còmhdach a h-uile stòr a dhâ fhaodadh a bhith ann airson aodion dĂ ta aoigheachd agus nach eil a chleachdadh gu leòr gus dèanamh cinnteach Ă dĂŹomhaireachd iomlan seiseanan HTTPS. Gu sònraichte, nuair a thòisichear air seisean a chaidh a stèidheachadh roimhe seo, lean an t-ainm fearainn ann an teacsa soilleir air a shònrachadh am measg paramadairean leudachadh TLS PSK (Ro-Shared Key). A bharrachd air an sin, tha oidhirpean gus ESNI a bhuileachadh air cĂšisean co-fhreagarrachd agus sgèile a chomharrachadh a chuir casg air gabhail ri ESNI fad is farsaing.
Aâ gabhail a-steach easbhaidhean comharraichte ESNI, chaidh uidheamachd ECH uile-choitcheann Ăšr a leasachadh a leigeas le crĂŹochan leudachaidhean TLS sam bith a chrioptachadh. Gu teicnigeach, is e am prĂŹomh eadar-dhealachadh eadar ECH agus ESNI, an Ă ite raointean fa leth, gu bheil an teachdaireachd ClientHello gu lèir air a chrioptachadh sa bhad. Tha ECH aâ toirt a-steach an ClientHello a roinn ann an dĂ theachdaireachd eadar-dhealaichte - an teachdaireachd crioptaichte ClientHelloInner (SNI Inner) agus an teachdaireachd ClientHelloOuter gun chrioptachadh (SNI Outer). Bidh SNI Outer neo-chrioptaichte aâ giĂšlan dĂ ta neo-phrĂŹobhaideachd leithid an dreach TLS agus liosta de na ciphers a thathar aâ cleachdadh, a bharrachd air ainm Ă rainn cumanta nach eil aâ dol thairis air fĂŹor ainm an fhearainn a chaidh iarraidh. Mar eisimpleir, airson a h-uile neach-dèiligidh Cloudflare, tha an SNI Outer neo-chrioptaichte aâ sònrachadh an òstair cumanta âcloudflare-ech.comâ, ach tha fĂŹor ainm an aoigh a chaidh iarraidh air a ghluasad anns an SNI Inner crioptaichte agus chan eil e ri fhaighinn airson mion-sgrĂšdadh.
Bidh ECH cuideachd aâ cleachdadh sgeama sgaoilidh iuchrach crioptachaidh eadar-dhealaichte: thèid fiosrachadh iuchrach poblach a thar-chur ann an clĂ ran DNS HTTPSSVC seach clĂ ran TXT. Bithear aâ cleachdadh crioptachadh dearbhte deireadh-gu-deireadh stèidhichte air uidheam HPKE (Hybrid Public Key Encryption) gus an iuchair fhaighinn agus a chrioptachadh. Bidh ECH cuideachd aâ toirt taic do ath-chraoladh tèarainte iuchrach bhon fhrithealaiche, a ghabhas cleachdadh ma thèid iuchraichean a chuairteachadh. frithealaiche agus gus fuasgladh fhaighinn air cĂšisean le bhith aâ faighinn iuchraichean seann-fhasanta bhon tasgadan DNS.
Source: fosgailtenet.ru
