Mozilla ESNI (Шифрланған сервер атауын көрсету) технологиясының дамуын жалғастыратын және TLS сеанстарының параметрлері туралы ақпаратты шифрлауға арналған ECH (шифрланған клиент сәлемі) механизмі үшін Firefox-тың тұрақты тармағының пайдаланушыларына қолдау көрсетудің енгізілгенін жариялады. , мысалы, сұралған домен атауы. ECH-пен жұмыс істеу коды бастапқыда Firefox 85 шығарылымына қосылды, бірақ әдепкі бойынша өшірілген. Chrome бірте-бірте Chrome 115 шығарылымынан бастап ECH қолдауын қоса бастады.
Байланыс орнатудан басқа сервер Сұралған домен ақпараты DNS арқылы ағып кетті. Толық қорғаныс үшін, ECH-тен басқа, DNS трафигін шифрлау үшін HTTPS арқылы DNS немесе TLS арқылы DNS пайдалану керек. Firefox параметрлерде HTTPS арқылы DNS қосусыз ECH пайдаланбайды. Сіз осы бетте браузеріңіздегі ECH қолдауын тексере аласыз.
Firefox-та әдепкі бойынша ECH қолдауын қосқан факторлардың бірі Cloudflare бірнеше күн бұрын мазмұнды жеткізу желісіне ECH қолдауын қосу болды. Практикалық жағынан, ECH пайдалану кезінде сұралған хосттар туралы деректер талдаудан жасырылғандықтан, Cloudflare CDN арқылы қажетсіз сайттарды сүзу және бұғаттау енді бүкіл Cloudflare желісін бұғаттауды, ECH-тен барлық сұрауларды бұғаттауды немесе жалған түбірлік сертификаттарды пайдаланып HTTPS ұстауды ұйымдастыруды қажет етеді. пайдаланушы жүйесінде.
Бастапқыда бірнеше HTTPS сайттарының бір IP мекенжайында жұмысты ұйымдастыру үшін TLS кеңейтімі SNI пайдаланылды, онда шифрланған байланыс арнасын орнатпас бұрын жіберілген ClientHello хабарламасында сұралған хосттың аты көрсетілген. Бұл мүмкіндік қосылымды өңдеудің бастапқы кезеңінде виртуалды хосттар бойынша сұрауларды таратуға мүмкіндік берді, сонымен қатар ISP жағында HTTPS трафигін таңдап сүзуге және пайдаланушы ашатын сайттарды талдауға мүмкіндік берді, бұл пайдалану кезінде толық құпиялылыққа қол жеткізуге мүмкіндік бермеді. HTTPS.
Бұл мәселені шешу және сұралған сайт туралы ақпараттың ағып кетуін болдырмау үшін кейінірек хост атымен деректерді шифрлауды жүзеге асыратын ESNI кеңейтімі ұсынылды. ESNI енгізу барысында ұсынылған механизм хост деректерінің ағып кетуінің барлық ықтимал көздерін қамтымайтыны және оны пайдалану HTTPS сеанстарының толық құпиялылығын қамтамасыз ету үшін жеткіліксіз екендігі анықталды. Атап айтқанда, бұрын орнатылған сеансты жалғастырған кезде, PSK (Pre-Shared Key) TLS кеңейтімінің параметрлері арасында анық мәтіндегі домен атауын көрсету жалғасты. Сонымен қатар, ESNI енгізу әрекеттері ESNI кең таралуына кедергі келтірген үйлесімділік пен масштабтау мәселелерін анықтады.
ESNI анықталған кемшіліктерді ескере отырып, кез келген TLS кеңейтімдерінің параметрлерін шифрлауға мүмкіндік беретін жаңа әмбебап ECH механизмі әзірленді. Техникалық тұрғыдан, ECH және ESNI арасындағы негізгі айырмашылық жеке өрістердің орнына бүкіл ClientHello хабарламасы бірден шифрланады. ECH ClientHello-ны екі бөлек хабарға бөлуді қамтиды - шифрланған ClientHelloInner хабары (SNI Inner) және шифрланбаған негізгі ClientHelloOuter хабары (SNI Сыртқы). Шифрланбаған SNI Outer TLS нұсқасы және пайдаланылатын шифрлар тізімі сияқты құпиялылыққа жатпайтын деректерді, сондай-ақ сұралған доменнің нақты атауымен қабаттаспайтын жалпы домен атауын тасымалдайды. Мысалы, барлық Cloudflare клиенттері үшін шифрланбаған SNI Outer "cloudflare-ech.com" жалпы хостын көрсетеді, бірақ сұралған хосттың нақты атауы шифрланған SNI Inner ішінде жіберіледі және талдау үшін қолжетімді емес.
ECH сонымен қатар шифрлау кілтін таратудың басқа схемасын қолданады: ашық кілт туралы ақпарат TXT жазбаларының орнына HTTPSSVC DNS жазбаларында беріледі. Кілтті алу және шифрлау үшін HPKE (гибридті ашық кілтті шифрлау) механизміне негізделген аутентификацияланған толық шифрлау қолданылады. ECH сонымен қатар кілтті айналдыру жағдайында пайдалануға болатын серверден қауіпсіз кілтті қайта жіберуді қолдайды. сервер және DNS кэшінен ескірген кілттерді алу мәселелерін шешу үшін.
Ақпарат көзі: opennet.ru
