Ua hoʻolaha ʻo Mozilla i ke komo ʻana o ke kākoʻo no nā mea hoʻohana o ka lālā paʻa o Firefox no ka mīkini ECH (Encrypted Client Hello), e hoʻomau nei i ka hoʻomohala ʻana o ka ʻenehana ESNI (Encrypted Server Name Indication) a ua hoʻolālā ʻia e hoʻopili i ka ʻike e pili ana i nā palena o nā kau TLS. , e like me ka inoa kikowaena i noi ʻia. Ua hoʻohui mua ʻia ke code no ka hana pū ʻana me ECH i ka hoʻokuʻu ʻana iā Firefox 85, akā ua pio ʻia e ka paʻamau. Ua hoʻomaka ʻo Chrome e hoʻokomo i ke kākoʻo ECH e hoʻomaka me ka hoʻokuʻu ʻana o Chrome 115.
ʻOiai ma waho aʻe o ka hoʻopili ʻana me kikowaena Ua hoʻokahe ʻia ka ʻike kikowaena i noi ʻia ma o DNS. No ka palekana piha, ma waho aʻe o ECH, pono ʻoe e hoʻohana i ka DNS ma luna o HTTPS a i ʻole DNS ma luna o TLS e hoʻopāʻālua i ke kaʻa DNS. ʻAʻole e hoʻohana ʻo Firefox iā ECH me ka ʻole o ka hoʻā ʻana iā DNS ma luna o HTTPS i nā hoʻonohonoho. Hiki iā ʻoe ke nānā i ke kākoʻo ECH ma kāu polokalamu kele pūnaewele ma kēia ʻaoʻao.
ʻO kekahi o nā kumu i hiki ai ke kākoʻo ʻo ECH ma ka paʻamau ma Firefox, ʻo ia ka hoʻokomo ʻana o Cloudflare i ke kākoʻo ECH i kāna pūnaewele hoʻolaha ʻike i kekahi mau lā i hala. Ma ka ʻaoʻao kūpono, no ka mea huna ʻia nā ʻikepili e pili ana i nā pūʻali i noi ʻia i ka wā e hoʻohana ai i ka ECH mai ka nānā ʻana, kānana a me ka hoʻopaʻa ʻana i nā pūnaewele i makemake ʻole ʻia me ka hoʻohana ʻana iā Cloudflare CDN i kēia manawa e koi aku i ka pale ʻana i ka pūnaewele Cloudflare holoʻokoʻa, ke kāohi ʻana i nā noi āpau mai ECH, a i ʻole ka hoʻonohonoho ʻana i ka interception HTTPS me ka hoʻohana ʻana i nā palapala kumu hoʻopunipuni. ma ka ʻōnaehana mea hoʻohana.
I ka hoʻomaka ʻana, no ka hoʻonohonoho ʻana i ka hana ma hoʻokahi IP address o kekahi mau pūnaewele HTTPS, ua hoʻohana ʻia ka TLS extension SNI, kahi i hōʻike ʻia ai ka inoa o ka mea hoʻokipa i noi ʻia ma ka leka ClientHello i hoʻouna ʻia ma mua o ka hoʻokumu ʻana i kahi kaila kamaʻilio i hoʻopili ʻia. ʻO kēia hiʻohiʻona i hiki ai ke hāʻawi i nā noi ma waena o nā host virtual i ka wā mua o ka hoʻoili ʻana i ka pilina, akā ua hiki nō hoʻi i ka ʻaoʻao ISP ke koho i ka kānana HTTPS traffic a me ka nānā ʻana i nā pūnaewele e wehe ai ka mea hoʻohana, ʻaʻole i ʻae i ka loaʻa ʻana o ka hūnā piha i ka wā e hoʻohana ai. HTTPS.
No ka hoʻoponopono ʻana i kēia pilikia a pale i ka leakage o ka ʻike e pili ana i ka pūnaewele i noi ʻia, ua manaʻo ʻia kahi hoʻonui ESNI e hoʻokō i ka hoʻopili ʻikepili me ka inoa host. I ka wā o ka hoʻokō ʻana o ESNI, ua hōʻike ʻia ʻaʻole i uhi ʻia ka mīkini i manaʻo ʻia i nā kumu āpau o ka leakage data host a ʻaʻole lawa ka hoʻohana ʻana e hōʻoia i ka hūnā piha o nā kau HTTPS. ʻO ka mea nui, i ka wā e hoʻomaka ai i kahi kau i hoʻokumu ʻia ma mua, ua hoʻomau ʻia ka inoa o ka domain ma kahi kikokikona maʻemaʻe ma waena o nā ʻāpana o ka hoʻonui PSK (Pre-Shared Key) TLS. Eia hou, ua ʻike ka hoʻoikaika ʻana e hoʻokō i ka ESNI i ka hoʻohālikelike a me nā pilikia scaling i pale i ka hoʻohana nui ʻana o ESNI.
I ka noʻonoʻo ʻana i nā hemahema i ʻike ʻia o ESNI, ua hoʻomohala ʻia kahi mīkini ECH honua hou e hiki ai ke hoʻopili i nā ʻāpana o nā hoʻonui TLS. ʻO ka ʻenehana, ʻo ka ʻokoʻa nui ma waena o ECH a me ESNI ʻo ia ma kahi o nā kahua pākahi, ua hoʻopili ʻia ka memo ClientHello holoʻokoʻa i ka manawa hoʻokahi. Hoʻopili ʻo ECH i ka hoʻokaʻawale ʻana i ka ClientHello i ʻelua mau memo ʻokoʻa - ka memo ClientHelloInner i hoʻopili ʻia (SNI Inner) a me ka memo ClientHelloOuter lalo (SNI Outer). Lawe ʻia kahi SNI Outer i hoʻopili ʻole ʻia i ka ʻikepili pilikino e like me ka mana TLS a me kahi papa inoa o nā ciphers i hoʻohana ʻia, a me kahi inoa kikowaena maʻamau ʻaʻole i uhi ʻia me ka inoa maoli o ka domain i noi ʻia. No ka laʻana, no nā mea kūʻai aku Cloudflare āpau, ʻo ka SNI Outer i hoʻopili ʻole ʻia e kuhikuhi i ka host maʻamau "cloudflare-ech.com", akā ua hoʻouna ʻia ka inoa maoli o ka host i noi ʻia ma ka SNI Inner i hoʻopili ʻia a ʻaʻole i loaʻa no ka nānā ʻana.
Hoʻohana pū ʻo ECH i kahi papahana hoʻolaha kī hoʻopāʻālua ʻokoʻa: hoʻouna ʻia ka ʻike kī lehulehu ma nā moʻolelo DNS HTTPSSVC ma mua o nā moʻolelo TXT. Hoʻohana ʻia ka hoʻopāʻālua ʻana mai ka hopena a i ka hopena i hoʻokumu ʻia ma ke ʻano hana HPKE (Hybrid Public Key Encryption) e kiʻi a hoʻopāʻālua i ke kī. Kākoʻo pū ʻo ECH i ka hoʻouna hou ʻana i nā kī palekana mai ke kikowaena, hiki ke hoʻohana ʻia i ka hanana o ka hoʻohuli ʻana o ke kī. kikowaena a no ka hoʻoponopono ʻana i nā pilikia me ka loaʻa ʻana o nā kī kahiko mai ka cache DNS.
Source: opennet.ru
