ಮೊಜಿಲ್ಲಾ ಫೈರ್ಫಾಕ್ಸ್ ಸ್ಥಿರ ಬಳಕೆದಾರರಿಗೆ ECH (ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಕ್ಲೈಂಟ್ ಹಲೋ) ಕಾರ್ಯವಿಧಾನಕ್ಕೆ ಬೆಂಬಲವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತಿದೆ ಎಂದು ಘೋಷಿಸಿದೆ. ಇದು ESNI (ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸರ್ವರ್ ಹೆಸರು ಸೂಚನೆ) ತಂತ್ರಜ್ಞಾನದ ಮುಂದುವರಿಕೆಯಾಗಿದೆ ಮತ್ತು ವಿನಂತಿಸಿದ ಡೊಮೇನ್ ಹೆಸರಿನಂತಹ TLS ಸೆಷನ್ ನಿಯತಾಂಕಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಆರಂಭದಲ್ಲಿ, ECH ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಕೋಡ್ ಅನ್ನು ಫೈರ್ಫಾಕ್ಸ್ 85 ರ ಬಿಡುಗಡೆಯಲ್ಲಿ ಸೇರಿಸಲಾಯಿತು, ಆದರೆ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ. ಕ್ರೋಮ್ನಲ್ಲಿ, ಕ್ರೋಮ್ 115 ರ ಬಿಡುಗಡೆಯೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸಿ ECH ಬೆಂಬಲವನ್ನು ಕ್ರಮೇಣ ಸೇರಿಸಲಾಗಿದೆ.
ಸಂಪರ್ಕ ಸಾಧಿಸುವುದರ ಜೊತೆಗೆ ಸರ್ವರ್ ವಿನಂತಿಸಿದ ಡೊಮೇನ್ ಮಾಹಿತಿಯನ್ನು DNS ಮೂಲಕ ಸೋರಿಕೆ ಮಾಡಲಾಗುತ್ತದೆ. ಸಂಪೂರ್ಣ ರಕ್ಷಣೆಗಾಗಿ, ECH ಜೊತೆಗೆ, ನೀವು HTTPS ಮೂಲಕ DNS ಅಥವಾ DNS ಟ್ರಾಫಿಕ್ ಅನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು TLS ಮೂಲಕ DNS ಅನ್ನು ಬಳಸಬೇಕು. ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ HTTPS ಮೂಲಕ DNS ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸದೆ ಫೈರ್ಫಾಕ್ಸ್ ECH ಅನ್ನು ಬಳಸುವುದಿಲ್ಲ. ಈ ಪುಟದಲ್ಲಿ ನಿಮ್ಮ ಬ್ರೌಸರ್ನಲ್ಲಿ ECH ಬೆಂಬಲವನ್ನು ನೀವು ಪರಿಶೀಲಿಸಬಹುದು.
ಫೈರ್ಫಾಕ್ಸ್ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ECH ಬೆಂಬಲವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಕಾರಣವಾದ ಅಂಶಗಳಲ್ಲಿ ಒಂದು ಕ್ಲೌಡ್ಫ್ಲೇರ್ ಕೆಲವು ದಿನಗಳ ಹಿಂದೆ ತನ್ನ ವಿಷಯ ವಿತರಣಾ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ECH ಬೆಂಬಲವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿತ್ತು. ಪ್ರಾಯೋಗಿಕವಾಗಿ ಹೇಳುವುದಾದರೆ, ECH ಬಳಸುವಾಗ ವಿನಂತಿಸಿದ ಹೋಸ್ಟ್ಗಳ ಕುರಿತಾದ ಡೇಟಾವನ್ನು ವಿಶ್ಲೇಷಣೆಯಿಂದ ಮರೆಮಾಡಲಾಗಿರುವುದರಿಂದ, ಕ್ಲೌಡ್ಫ್ಲೇರ್ನ CDN ಬಳಸಿಕೊಂಡು ಅನಗತ್ಯ ಸೈಟ್ಗಳನ್ನು ಫಿಲ್ಟರ್ ಮಾಡುವುದು ಮತ್ತು ನಿರ್ಬಂಧಿಸುವುದು ಈಗ ಸಂಪೂರ್ಣ ಕ್ಲೌಡ್ಫ್ಲೇರ್ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸುವುದು, ECH ನೊಂದಿಗೆ ಎಲ್ಲಾ ವಿನಂತಿಗಳನ್ನು ನಿರ್ಬಂಧಿಸುವುದು ಅಥವಾ ಬಳಕೆದಾರರ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ನಕಲಿ ರೂಟ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸಿಕೊಂಡು HTTPS ಪ್ರತಿಬಂಧವನ್ನು ಸಂಘಟಿಸುವುದು ಅಗತ್ಯವಾಗಿರುತ್ತದೆ.
ಆರಂಭದಲ್ಲಿ, SNI TLS ವಿಸ್ತರಣೆಯನ್ನು ಹಲವಾರು HTTPS ಸೈಟ್ಗಳ ಒಂದು IP ವಿಳಾಸದಲ್ಲಿ ಕೆಲಸವನ್ನು ಸಂಘಟಿಸಲು ಬಳಸಲಾಗುತ್ತಿತ್ತು, ಇದರಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಂವಹನ ಚಾನಲ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವ ಮೊದಲು ರವಾನೆಯಾಗುವ ClientHello ಸಂದೇಶದಲ್ಲಿ ವಿನಂತಿಸಿದ ಹೋಸ್ಟ್ನ ಹೆಸರನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗುತ್ತದೆ. ಈ ವೈಶಿಷ್ಟ್ಯವು ಸಂಪರ್ಕ ಪ್ರಕ್ರಿಯೆಯ ಆರಂಭಿಕ ಹಂತದಲ್ಲಿ ವರ್ಚುವಲ್ ಹೋಸ್ಟ್ಗಳ ನಡುವೆ ವಿನಂತಿಗಳನ್ನು ವಿತರಿಸಲು ಸಾಧ್ಯವಾಗಿಸಿತು, ಆದರೆ ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರು HTTPS ಟ್ರಾಫಿಕ್ ಅನ್ನು ಆಯ್ದವಾಗಿ ಫಿಲ್ಟರ್ ಮಾಡಲು ಮತ್ತು ಬಳಕೆದಾರರು ಯಾವ ಸೈಟ್ಗಳನ್ನು ತೆರೆಯುತ್ತಾರೆ ಎಂಬುದನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟರು, ಇದು HTTPS ಬಳಸುವಾಗ ಸಂಪೂರ್ಣ ಗೌಪ್ಯತೆಯನ್ನು ಸಾಧಿಸಲು ಅನುಮತಿಸಲಿಲ್ಲ.
ಈ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲು ಮತ್ತು ವಿನಂತಿಸಿದ ಸೈಟ್ ಬಗ್ಗೆ ಮಾಹಿತಿಯ ಸೋರಿಕೆಯನ್ನು ತಡೆಯಲು, ನಂತರ ESNI ವಿಸ್ತರಣೆಯನ್ನು ಪ್ರಸ್ತಾಪಿಸಲಾಯಿತು, ಇದು ಹೋಸ್ಟ್ ಹೆಸರಿನೊಂದಿಗೆ ಡೇಟಾದ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ. ESNI ಅನುಷ್ಠಾನದ ಸಮಯದಲ್ಲಿ, ಪ್ರಸ್ತಾವಿತ ಕಾರ್ಯವಿಧಾನವು ಹೋಸ್ಟ್ ಡೇಟಾ ಸೋರಿಕೆಯ ಎಲ್ಲಾ ಸಂಭಾವ್ಯ ಮೂಲಗಳನ್ನು ಒಳಗೊಂಡಿಲ್ಲ ಮತ್ತು HTTPS ಅವಧಿಗಳ ಸಂಪೂರ್ಣ ಗೌಪ್ಯತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಅದರ ಬಳಕೆಯು ಸಾಕಾಗುವುದಿಲ್ಲ ಎಂದು ಕಂಡುಬಂದಿದೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ಹಿಂದೆ ಸ್ಥಾಪಿಸಲಾದ ಅವಧಿಯನ್ನು ಪುನರಾರಂಭಿಸುವಾಗ, ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿರುವ ಡೊಮೇನ್ ಹೆಸರನ್ನು PSK (ಪೂರ್ವ-ಹಂಚಿಕೆಯ ಕೀ) TLS ವಿಸ್ತರಣೆಯ ನಿಯತಾಂಕಗಳಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸುವುದನ್ನು ಮುಂದುವರೆಸಲಾಯಿತು. ಇದರ ಜೊತೆಗೆ, ESNI ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಪ್ರಯತ್ನಗಳು ESNI ಯ ವ್ಯಾಪಕ ವಿತರಣೆಯನ್ನು ತಡೆಯುವ ಹೊಂದಾಣಿಕೆ ಮತ್ತು ಸ್ಕೇಲಿಂಗ್ ಸಮಸ್ಯೆಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಿದವು.
ESNI ಯ ಗುರುತಿಸಲಾದ ನ್ಯೂನತೆಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು, ಯಾವುದೇ TLS ವಿಸ್ತರಣೆಗಳ ನಿಯತಾಂಕಗಳ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಅನುಮತಿಸುವ ಹೊಸ ಸಾರ್ವತ್ರಿಕ ಕಾರ್ಯವಿಧಾನ ECH ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ. ತಾಂತ್ರಿಕವಾಗಿ, ECH ಮತ್ತು ESNI ನಡುವಿನ ಪ್ರಮುಖ ವ್ಯತ್ಯಾಸವೆಂದರೆ ಪ್ರತ್ಯೇಕ ಕ್ಷೇತ್ರಗಳ ಬದಲಿಗೆ, ಸಂಪೂರ್ಣ ClientHello ಸಂದೇಶವನ್ನು ಏಕಕಾಲದಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ. ECH ಎಂದರೆ ClientHello ಅನ್ನು ಎರಡು ಪ್ರತ್ಯೇಕ ಸಂದೇಶಗಳಾಗಿ ವಿಭಜಿಸುವುದು - ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ClientHelloInner (SNI ಇನ್ನರ್) ಸಂದೇಶ ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡದ ಬೇಸ್ ClientHelloOuter (SNI Outer) ಸಂದೇಶ. ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡದ SNI Outer TLS ಆವೃತ್ತಿ ಮತ್ತು ಬಳಸಿದ ಸೈಫರ್ಗಳ ಪಟ್ಟಿಯಂತಹ ಸೂಕ್ಷ್ಮವಲ್ಲದ ಡೇಟಾವನ್ನು ಹಾಗೂ ವಿನಂತಿಸಿದ ಡೊಮೇನ್ನ ನಿಜವಾದ ಹೆಸರಿನೊಂದಿಗೆ ಅತಿಕ್ರಮಿಸದ ಸಾಮಾನ್ಯ ಡೊಮೇನ್ ಹೆಸರನ್ನು ರವಾನಿಸುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ಎಲ್ಲಾ Cloudflare ಕ್ಲೈಂಟ್ಗಳಿಗೆ, ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡದ SNI Outer ಸಾಮಾನ್ಯ ಹೋಸ್ಟ್ "cloudflare-ech.com" ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತದೆ ಮತ್ತು ವಿನಂತಿಸಿದ ಹೋಸ್ಟ್ನ ನಿಜವಾದ ಹೆಸರನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ SNI ಇನ್ನರ್ನಲ್ಲಿ ರವಾನಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ವಿಶ್ಲೇಷಣೆಗೆ ಲಭ್ಯವಿಲ್ಲ.
ECH ಕೂಡ ಬೇರೆ ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀ ವಿತರಣಾ ಯೋಜನೆಯನ್ನು ಬಳಸುತ್ತದೆ: ಸಾರ್ವಜನಿಕ ಕೀ ಮಾಹಿತಿಯನ್ನು TXT ದಾಖಲೆಗಳಿಗಿಂತ HTTPSSVC DNS ದಾಖಲೆಗಳಲ್ಲಿ ರವಾನಿಸಲಾಗುತ್ತದೆ. HPKE (ಹೈಬ್ರಿಡ್ ಪಬ್ಲಿಕ್ ಕೀ ಎನ್ಕ್ರಿಪ್ಶನ್) ಕಾರ್ಯವಿಧಾನವನ್ನು ಆಧರಿಸಿದ ದೃಢೀಕೃತ ಎಂಡ್-ಟು-ಎಂಡ್ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಕೀಲಿಯನ್ನು ಪಡೆಯಲು ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ. ECH ಸರ್ವರ್ನಿಂದ ಸುರಕ್ಷಿತ ಕೀ ಮರು ಪ್ರಸರಣವನ್ನು ಸಹ ಬೆಂಬಲಿಸುತ್ತದೆ, ಇದನ್ನು ಕೀ ತಿರುಗುವಿಕೆಯ ಸಂದರ್ಭದಲ್ಲಿ ಬಳಸಬಹುದು. ಸರ್ವರ್ ಮತ್ತು DNS ಸಂಗ್ರಹದಿಂದ ಹಳೆಯ ಕೀಗಳನ್ನು ಹಿಂಪಡೆಯುವಲ್ಲಿನ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲು.
ಮೂಲ: opennet.ru
