Mozilla hefur tilkynnt um stuðning við notendur stöðugrar útibús Firefox fyrir ECH (Encrypted Client Hello) vélbúnaðinn, sem heldur áfram þróun ESNI (Encrypted Server Name Indication) tækni og er hannaður til að dulkóða upplýsingar um færibreytur TLS funda , eins og umbeðið lén. Kóði til að vinna með ECH var upphaflega bætt við Firefox 85 útgáfuna, en var sjálfgefið óvirkt. Chrome byrjaði smám saman að innihalda ECH stuðning frá og með útgáfu Chrome 115.
Þar sem auk þess að tengjast við miðlara Upplýsingar um lénið leka í gegnum DNS. Til að fá fulla vörn, auk ECH, verður þú að nota DNS yfir HTTPS eða DNS yfir TLS til að dulkóða DNS umferð. Firefox mun ekki nota ECH án þess að virkja DNS yfir HTTPS í stillingunum. Þú getur athugað ECH stuðninginn í vafranum þínum á þessari síðu.
Einn af þeim þáttum sem virkjaði ECH stuðning sjálfgefið í Firefox var innlimun Cloudflare á ECH stuðningi í efnisafhendingarneti sínu fyrir nokkrum dögum. Á hagnýtu hliðinni, þar sem gögn um umbeðna gestgjafa við notkun ECH eru falin fyrir greiningu, mun síun og lokun á óæskilegum vefsvæðum með Cloudflare CDN nú krefjast þess að loka öllu Cloudflare netinu, loka fyrir allar beiðnir frá ECH eða skipuleggja HTTPS hlerun með því að nota fölsuð rótarvottorð á notendakerfi.
Upphaflega, til að skipuleggja vinnu á einni IP tölu nokkurra HTTPS vefsvæða, var TLS viðbótin SNI notuð, þar sem nafn umbeðinna gestgjafa var gefið upp í ClientHello skilaboðunum sem send voru áður en dulkóðuð samskiptarás var komið á fót. Þessi eiginleiki gerði það mögulegt að dreifa beiðnum milli sýndarhýsinga á frumstigi tengingarvinnslu, en einnig gerði það mögulegt á ISP hliðinni að sértækt sía HTTPS umferð og greina hvaða síður notandinn opnar, sem gerði ekki kleift að ná fullum trúnaði við notkun HTTPS.
Til að leysa þetta vandamál og koma í veg fyrir leka upplýsinga um umbeðna síðu var síðar lagt til ESNI viðbót sem útfærir dulkóðun gagna með hýsilheitinu. Við innleiðingu ESNI kom í ljós að fyrirhugað kerfi nær ekki yfir allar mögulegar uppsprettur hýsilgagnaleka og notkun þess nægir ekki til að tryggja algjöran trúnað um HTTPS-lotur. Sérstaklega, þegar haldið var áfram með áður stofnaða lotu, var lénið í skýrum texta áfram tilgreint meðal færibreyta PSK (Pre-Shared Key) TLS viðbótarinnar. Að auki hefur viðleitni til að innleiða ESNI bent á samhæfni og stærðarvandamál sem hafa komið í veg fyrir útbreidda upptöku ESNI.
Að teknu tilliti til greindra annmarka ESNI var nýtt alhliða ECH kerfi þróað sem gerir kleift að dulkóða færibreytur hvers kyns TLS viðbætur. Tæknilega séð er aðalmunurinn á ECH og ESNI sá að í stað einstakra reita eru öll ClientHello skilaboðin dulkóðuð í einu. ECH felur í sér að skipta ClientHello í tvö aðskilin skilaboð - dulkóðuðu ClientHelloInner skilaboðin (SNI Inner) og ódulkóðuðu undirliggjandi ClientHelloOuter skilaboðin (SNI Outer). Ódulkóðuð SNI Outer ber ekki persónuverndargögn eins og TLS útgáfuna og lista yfir dulmál sem notuð eru, svo og algengt lén sem skarast ekki raunverulegu nafni umbeðnu léns. Til dæmis, fyrir alla Cloudflare viðskiptavini, tilgreinir ódulkóðaði SNI Outer sameiginlega hýsilinn "cloudflare-ech.com", en raunverulegt nafn hins umbeðna hýsils er sent í dulkóðuðu SNI Inner og er ekki tiltækt til greiningar.
ECH notar einnig aðra dreifingaraðferð fyrir dulkóðunarlykla: upplýsingar um opinbera lykla eru sendar í HTTPSSVC DNS færslum frekar en TXT færslum. Staðfest dulkóðun frá enda til enda byggð á HPKE (Hybrid Public Key Encryption) aðferðinni er notuð til að fá og dulkóða lykilinn. ECH styður einnig örugga endursendingu lykla frá þjóninum, sem hægt er að nota ef lyklar eru skipt út. netþjónn og til að leysa vandamál við að sækja úrelta lykla úr DNS skyndiminninu.
Heimild: opennet.ru
