Mozilla je najavila uključivanje podrške za korisnike stabilne grane Firefoxa za mehanizam ECH (Encrypted Client Hello), koji nastavlja razvoj tehnologije ESNI (Encrypted Server Name Indication) i dizajniran je za šifriranje informacija o parametrima TLS sesija , kao što je traženi naziv domene. Kod za rad s ECH izvorno je dodan izdanju Firefoxa 85, ali je prema zadanim postavkama onemogućen. Chrome je postupno počeo uključivati ECH podršku počevši od izdanja Chromea 115.
Budući da se osim povezivanja s poslužitelja Zatražene informacije o domeni procurile su putem DNS-a. Za potpunu zaštitu, uz ECH, morate koristiti DNS preko HTTPS-a ili DNS preko TLS-a za šifriranje DNS prometa. Firefox neće koristiti ECH bez omogućavanja DNS-a preko HTTPS-a u postavkama. Podršku za ECH u svom pregledniku možete provjeriti na ovoj stranici.
Jedan od čimbenika koji je omogućio ECH podršku prema zadanim postavkama u Firefoxu je Cloudflareovo uključivanje ECH podrške u svoju mrežu za isporuku sadržaja prije nekoliko dana. S praktične strane, budući da su podaci o traženim hostovima pri korištenju ECH-a skriveni od analize, filtriranje i blokiranje neželjenih stranica pomoću Cloudflare CDN-a sada će zahtijevati blokiranje cijele Cloudflare mreže, blokiranje svih zahtjeva od ECH-a ili organiziranje HTTPS presretanja pomoću lažnih korijenskih certifikata na korisničkom sustavu.
U početku, za organiziranje rada na jednoj IP adresi nekoliko HTTPS stranica, korišteno je TLS proširenje SNI, u kojem je ime traženog hosta navedeno u poruci ClientHello koja se prenosi prije uspostavljanja šifriranog komunikacijskog kanala. Ova je značajka omogućila distribuciju zahtjeva preko virtualnih hostova u ranoj fazi obrade veze, ali je također omogućila ISP-u da selektivno filtrira HTTPS promet i analizira koje stranice korisnik otvara, što nije omogućilo postizanje potpune povjerljivosti pri korištenju HTTPS.
Kako bi se riješio ovaj problem i spriječilo curenje informacija o traženoj stranici, kasnije je predloženo proširenje ESNI koje implementira enkripciju podataka s nazivom glavnog računala. Tijekom implementacije ESNI-ja otkriveno je da predloženi mehanizam ne pokriva sve moguće izvore curenja podataka o hostu i njegova upotreba nije dovoljna da osigura potpunu povjerljivost HTTPS sesija. Konkretno, prilikom nastavka prethodno uspostavljene sesije, naziv domene u jasnom tekstu nastavio je biti naveden među parametrima TLS ekstenzije PSK (Pre-Shared Key). Nadalje, napori da se implementira ESNI identificirali su probleme kompatibilnosti i skaliranja koji su spriječili široku primjenu ESNI-ja.
Uzimajući u obzir uočene nedostatke ESNI-ja, razvijen je novi univerzalni ECH mehanizam koji omogućuje šifriranje parametara bilo kojeg TLS proširenja. Tehnički, glavna razlika između ECH-a i ESNI-ja je u tome što je umjesto pojedinačnih polja, cijela ClientHello poruka šifrirana odjednom. ECH uključuje dijeljenje ClientHello-a u dvije zasebne poruke - šifriranu ClientHelloInner poruku (SNI Inner) i nekriptiranu temeljnu ClientHelloOuter poruku (SNI Outer). Nešifrirani SNI Outer nosi podatke koji nisu povezani s privatnošću, kao što je TLS verzija i popis korištenih šifri, kao i zajednički naziv domene koji se ne preklapa sa stvarnim nazivom tražene domene. Na primjer, za sve Cloudflare klijente, nekriptirani SNI Outer navodi zajednički host "cloudflare-ech.com", ali stvarni naziv traženog hosta prenosi se u šifriranom SNI Inner i nije dostupan za analizu.
ECH također koristi drugačiju shemu distribucije ključeva za šifriranje: informacije o javnom ključu prenose se u HTTPSSVC DNS zapisima, a ne u TXT zapisima. Za dobivanje i šifriranje ključa koristi se autentificirana end-to-end enkripcija temeljena na HPKE (Hybrid Public Key Encryption) mehanizmu. ECH također podržava siguran ponovni prijenos ključa s poslužitelja, što se može koristiti u slučaju rotacije ključa. poslužitelja i za rješavanje problema s dohvaćanjem zastarjelih ključeva iz DNS predmemorije.
Izvor: opennet.ru
