Mozilla ESNI (Encrypted Server Name Indication) технологиясын өнүктүрүүнү уланткан жана TLS сеанстарынын параметрлери жөнүндө маалыматты шифрлөө үчүн иштелип чыккан ECH (Encrypted Client Hello) механизми үчүн Firefoxтун туруктуу бутагынын колдонуучулары үчүн колдоо камтылганын жарыялады. , суралган домен аты сыяктуу. ECH менен иштөө үчүн код алгач Firefox 85 релизине кошулган, бирок демейки боюнча өчүрүлгөн. Chrome акырындык менен Chrome 115 чыгаруудан баштап ECH колдоосун камтый баштады.
Байланыштан тышкары, сервер Суралган домен маалыматы DNS аркылуу агып кетти. Толук коргоо үчүн, ECHтен тышкары, DNS трафигин шифрлөө үчүн HTTPS аркылуу DNS же TLS аркылуу DNS колдонушуңуз керек. Firefox жөндөөлөрдө HTTPS аркылуу DNS иштетпесе, ECH колдонбойт. Бул баракчадан браузериңиздеги ECH колдоосун текшере аласыз.
Firefoxто демейки боюнча ECH колдоосун иштеткен факторлордун бири Cloudflare бир нече күн мурун мазмун жеткирүү тармагына ECH колдоосун киргизген. Практикалык жагынан, ECHди колдонууда суралган хосттор жөнүндө маалыматтар талдоодон жашырылгандыктан, Cloudflare CDN аркылуу керексиз сайттарды чыпкалоо жана бөгөттөө үчүн эми бүт Cloudflare тармагын бөгөттөө, ECHден келген бардык суроо-талаптарды бөгөттөө же жасалма тамыр сертификаттарын колдонуу менен HTTPS кармоону уюштуруу талап кылынат. колдонуучу системасында.
Башында, бир нече HTTPS сайттарынын бир IP дареги боюнча ишти уюштуруу үчүн TLS кеңейтүүсү SNI колдонулган, мында суралган хосттун аты шифрленген байланыш каналын орнотуудан мурун жөнөтүлгөн ClientHello билдирүүсүндө көрсөтүлгөн. Бул функция туташууну иштетүүнүн алгачкы этабында виртуалдык хосттор боюнча суроо-талаптарды жайылтууга мүмкүндүк берди, бирок ошол эле учурда ISP тарабында HTTPS трафигин тандап чыпкалоо жана колдонуучу кайсы сайттарды ачарын талдоо мүмкүнчүлүгүн берди, бул колдонууда толук купуялуулукка жетишүүгө мүмкүндүк бербейт. HTTPS.
Бул көйгөйдү чечүү жана суралган сайт жөнүндө маалыматтын агып кетишин алдын алуу үчүн, кийинчерээк хосттун аталышы менен маалыматтарды шифрлөөнү ишке ашырган ESNI кеңейтүүсү сунушталган. ESNIди ишке ашыруунун жүрүшүндө сунушталып жаткан механизм хост маалыматтарынын агып кетүүсүнүн бардык мүмкүн болгон булактарын камтыбай тургандыгы жана аны колдонуу HTTPS сеанстарынын толук купуялуулугун камсыз кылуу үчүн жетишсиз экендиги аныкталган. Тактап айтканда, мурда түзүлгөн сессияны улантууда, ачык тексттеги домендик аталыш PSK (Алдын ала бөлүшүлгөн ачкыч) TLS кеңейтүүсүнүн параметрлеринин арасында көрсөтүлө берген. Кошумчалай кетсек, ESNIди ишке ашыруу аракеттери ESNIдин кеңири жайылышына тоскоол болгон шайкештик жана масштабдуу маселелерди аныктады.
ESNIдин аныкталган кемчиликтерин эске алуу менен каалаган TLS кеңейтүүлөрдүн параметрлерин шифрлөөгө мүмкүндүк берүүчү жаңы универсалдуу ECH механизми иштелип чыккан. Техникалык жактан алганда, ECH менен ESNI ортосундагы негизги айырма жеке талаалардын ордуна, бүт ClientHello билдирүүсү бир эле учурда шифрленген. ECH ClientHelloну эки өзүнчө билдирүүгө бөлүүнү камтыйт - шифрленген ClientHelloInner билдирүүсү (SNI Inner) жана шифрленбеген негизги ClientHelloOuter билдирүүсү (SNI Outer). Шифрленбеген SNI Outer TLS версиясы жана колдонулган шифрлердин тизмеси, ошондой эле суралган домендин чыныгы аталышы менен дал келбеген жалпы домендик аталыш сыяктуу купуялыкты сактабаган маалыматтарды камтыйт. Мисалы, бардык Cloudflare кардарлары үчүн шифрленбеген SNI Outer жалпы "cloudflare-ech.com" хостун көрсөтөт, бирок суралган хосттун чыныгы аты шифрленген SNI Inner ичинде өткөрүлүп берилет жана талдоо үчүн жеткиликтүү эмес.
ECH ошондой эле башка шифрлөө ачкычын бөлүштүрүү схемасын колдонот: ачык ачкыч маалыматы TXT жазууларынын ордуна HTTPSSVC DNS жазууларында берилет. Ачкычты алуу жана шифрлөө үчүн HPKE (Гибриддик ачык ачкычты шифрлөө) механизмине негизделген аутентификацияланган башынан аягына чейин шифрлөө колдонулат. ECH ошондой эле ачкыч айландырылган учурда колдонулушу мүмкүн болгон серверден коопсуз ачкычты кайра берүүнү колдойт. сервер жана DNS кэшинен эскирген ачкычтарды алуу көйгөйлөрүн чечүү үчүн.
Source: opennet.ru
