Mozilla ji bo mekanîzmaya ECH (Kuşterê Şîfrekirî Hello), ku pêşkeftina teknolojiya ESNI (Nîşana Navê Pêşkêşkara Şîfrekirî) didomîne û ji bo şîfrekirina agahdariya li ser pîvanên danişînên TLS-ê hatî çêkirin, ji bo bikarhênerên şaxê stabîl ên Firefox-ê tevlêbûna piştgirîyê ragihand. , wek navê domainê tê xwestin. Koda ji bo xebata bi ECH-ê di destpêkê de li berdana Firefox 85-ê hate zêdekirin, lê ji hêla xwerû ve hate asteng kirin. Chrome hêdî hêdî dest pê kir ku bi serbestberdana Chrome 115-ê dest pê dike ku piştgirîya ECH-ê bike.
Ji ber ku ji bilî girêdana bi server Agahiyên domaina daxwazkirî bi rêya DNS-ê têne belavkirin. Ji bo parastina tevahî, ji bilî ECH-ê, divê hûn ji bo şîfrekirina trafîka DNS-ê DNS-ê li ser HTTPS-ê an jî DNS-ê li ser TLS-ê bikar bînin. Firefox bêyî çalakkirina DNS-ê li ser HTTPS-ê di mîhengan de ECH-ê bikar nayne. Hûn dikarin piştgiriya ECH-ê di geroka xwe de li ser vê rûpelê kontrol bikin.
Yek ji wan faktorên ku piştgirîya ECH-ê ji hêla xwerû ve di Firefox-ê de çalak kir ev bû ku Cloudflare çend roj berê piştgirîya ECH-ê di tora radestkirina naverokê de cih girt. Ji aliyê pratîkî ve, ji ber ku daneyên di derheqê mêvandarên daxwazkirî de dema ku ECH bikar tînin ji analîzê veşartî ne, fîlterkirin û astengkirina malperên nedilxwaz bi karanîna Cloudflare CDN naha hewce dike ku tevaya tora Cloudflare were asteng kirin, hemî daxwazên ECH-ê werin asteng kirin, an jî bi karanîna sertîfîkayên root sexte veguheztina HTTPS were organîze kirin. li ser pergala bikarhêner.
Di destpêkê de, ji bo organîzekirina xebatê li ser yek navnîşana IP-ya çend malperên HTTPS, dirêjkirina TLS SNI hate bikar anîn, ku tê de navê mêvandarê daxwazkirî di peyama ClientHello de hate veguheztin berî ku kanalek ragihandinê ya şîfrekirî were saz kirin. Vê taybetmendiyê îmkan da ku di qonaxek destpêkê ya pêvajoyek pêwendiyê de daxwaz li ser mêvandarên virtual belav bike, lê di heman demê de ji hêla ISP-ê ve jî mimkun kir ku bi bijartî seyrûsefera HTTPS-ê fîlter bike û analîz bike ka kîjan malperên ku bikarhêner vedike, yên ku nehiştin ku nepenîtiya bêkêmasî bi kar bîne. HTTPS.
Ji bo çareserkirina vê pirsgirêkê û pêşîlêgirtina derketina agahdariya li ser malpera daxwazkirî, dûv re dirêjkirinek ESNI hate pêşniyar kirin ku şîfrekirina daneyê bi navê mêvandar bicîh tîne. Di dema pêkanîna ESNI de, hate eşkere kirin ku mekanîzmaya pêşniyarkirî hemî çavkaniyên mimkun ên rijandina daneya mêvandar nagire û karanîna wê têrê nake ku nepeniya tam a danişînên HTTPS bicîh bike. Bi taybetî, dema ku rûniştinek berê hatî saz kirin ji nû ve dest pê kir, navê domainê di nivîsa zelal de berdewam kir ku di nav parametreyên dirêjkirina TLS ya PSK (Pêş-Pêşkêşkirî) de were destnîşankirin. Wekî din, hewildanên ji bo bicihanîna ESNI pirsgirêkên lihevhatî û pîvandinê destnîşan kirine ku pêşî li pejirandina berfireh a ESNI girtiye.
Li gorî kêmasiyên naskirî yên ESNI, mekanîzmayek nû ya gerdûnî ya ECH hate pêşve xistin ku destûrê dide şîfrekirina parametreyên her pêvekên TLS. Ji hêla teknîkî ve, cûdahiya sereke di navbera ECH û ESNI de ev e ku li şûna zeviyên kesane, tevahiya peyama ClientHello bi yekcarî tê şîfre kirin. ECH dabeşkirina ClientHello li du peyamên cihêreng vedihewîne - peyama ClientHelloInner ya şîfrekirî (SNI Inner) û peyama neşîfrekirî ya bingehîn ClientHelloOuter (SNI Outer). SNI Outer ya neşîfrekirî daneyên ne-nepenîtiyê yên wekî guhertoya TLS û navnîşek şîfreyên ku hatine bikar anîn, û her weha navek domainê ya hevpar ku bi navê rastîn a domaina daxwazkirî re li hev nake hildigire. Mînakî, ji bo hemî xerîdarên Cloudflare, SNI Outer-a neşîfrekirî mêvandarê hevpar "cloudflare-ech.com" diyar dike, lê navê rastîn ê mêvandarê daxwazkirî di hundurê SNI-ya şîfrekirî de tê veguheztin û ji bo analîzê peyda nabe.
ECH her wiha şêmayek belavkirina mifteya şîfrekirinê ya cûda bikar tîne: agahdariya mifteya giştî di tomarên DNS-ê yên HTTPSSVC de tê şandin, ne di tomarên TXT de. Şîfrekirina ser-bi-serî ya pejirandî li ser bingeha mekanîzmaya HPKE (Şîfrekirina Mifteya Giştî ya Hîbrîd) ji bo bidestxistin û şîfrekirina mifteyê tê bikar anîn. ECH her wiha ji nû ve veguhestina mifteya ewle ji serverê piştgirî dike, ku dikare di rewşa zivirîna mifteyê de were bikar anîn. server û ji bo çareserkirina pirsgirêkên bi vegerandina mifteyên kevnar ji cacheya DNS.
Source: opennet.ru
