Mozilla wis ngumumake manawa ndhukung mekanisme ECH (Encrypted Client Hello) kanggo pangguna stabil Firefox. Iki minangka kelanjutan saka teknologi ESNI (Encrypted Server Name Indikasi) lan dirancang kanggo ndhelik informasi babagan paramèter sesi TLS, kayata jeneng domain sing dijaluk. Kaping pisanan, kode kanggo nggarap ECH ditambahake ing release Firefox 85, nanging dipateni kanthi standar. Ing Chrome, dhukungan ECH wis mboko sithik, diwiwiti kanthi rilis Chrome 115.
Amarga saliyane nyambung karo server Informasi domain sing dijaluk bocor liwat DNS. Kanggo perlindungan lengkap, saliyane ECH, sampeyan kudu nggunakake DNS liwat HTTPS utawa DNS liwat TLS kanggo ngenkripsi lalu lintas DNS. Firefox ora bakal nggunakake ECH tanpa ngaktifake DNS liwat HTTPS ing setelan. Sampeyan bisa mriksa dhukungan ECH ing browser sampeyan ing kaca iki.
Salah sawijining faktor sing nyebabake Firefox ngaktifake dhukungan ECH kanthi standar yaiku Cloudflare ngaktifake dhukungan ECH ing jaringan pangiriman konten sawetara dina kepungkur. Ing istilah praktis, amarga data babagan host sing dijaluk didhelikake saka analisis nalika nggunakake ECH, nyaring lan mblokir situs sing ora dikarepake nggunakake CDN Cloudflare saiki bakal mbutuhake pamblokiran kabeh jaringan Cloudflare, mblokir kabeh panjalukan karo ECH, utawa ngatur intersepsi HTTPS nggunakake sertifikat root palsu ing sistem pangguna.
Kaping pisanan, ekstensi SNI TLS digunakake kanggo ngatur karya ing siji alamat IP saka sawetara situs HTTPS, ing ngendi jeneng host sing dijaluk kasebut ing pesen ClientHello sing dikirim sadurunge nggawe saluran komunikasi sing dienkripsi. Fitur iki ndadekake bisa nyebarake panjalukan ing antarane host virtual ing tahap wiwitan pangolahan sambungan, nanging uga ngidini panyedhiya Internet kanthi selektif nyaring lalu lintas HTTPS lan nganalisa situs sing dibukak pangguna, sing ora ngidini entuk rahasia lengkap nalika nggunakake HTTPS.
Kanggo ngatasi masalah iki lan nyegah bocor informasi babagan situs sing dijaluk, extension ESNI banjur diusulake, ngleksanakake enkripsi data kanthi jeneng host. Sajrone implementasine ESNI, ditemokake mekanisme sing diusulake ora nyakup kabeh sumber bocor data host lan panggunaane ora cukup kanggo njamin rahasia lengkap sesi HTTPS. Utamane, nalika nerusake sesi sing wis ditetepake sadurunge, jeneng domain ing teks sing jelas terus ditemtokake ing antarane paramèter ekstensi PSK (Pre-Shared Key). Kajaba iku, upaya kanggo ngetrapake ESNI nuduhake kompatibilitas lan masalah skala sing nyegah panyebaran ESNI sing nyebar.
Nganggep kekurangan ESNI sing diidentifikasi, mekanisme universal ECH anyar dikembangake, sing ngidini enkripsi paramèter saka ekstensi TLS. Secara teknis, prabédan utama antarane ECH lan ESNI yaiku tinimbang kolom individu, kabeh pesen ClientHello dienkripsi bebarengan. ECH nyakup pamisah ClientHello dadi rong pesen sing kapisah - pesen ClientHelloInner (SNI Inner) sing dienkripsi lan pesen ClientHelloOuter (SNI Outer) sing ora dienkripsi. SNI Outer sing ora dienkripsi ngirimake data sing ora sensitif, kayata versi TLS lan dhaptar cipher sing digunakake, uga jeneng domain umum sing ora tumpang tindih karo jeneng domain sing dijaluk. Contone, kanggo kabeh klien Cloudflare, SNI Outer sing ora dienkripsi nemtokake host umum "cloudflare-ech.com", lan jeneng nyata host sing dijaluk dikirim ing SNI Inner sing dienkripsi lan ora kasedhiya kanggo analisis.
ECH uga nggunakake skema distribusi kunci enkripsi sing beda: informasi kunci publik dikirim ing cathetan DNS HTTPSVC tinimbang cathetan TXT. Enkripsi ujung-ke-ujung sing diautentikasi adhedhasar mekanisme HPKE (Hybrid Public Key Encryption) digunakake kanggo njupuk lan ngenkripsi kunci. ECH uga ndhukung transmisi ulang kunci aman saka server, sing bisa digunakake yen ana rotasi kunci. server lan kanggo ngrampungake masalah nalika njupuk kunci sing wis lawas saka cache DNS.
Source: opennet.ru
