Mozilla inclusionem subsidii pro usoribus rami stabilis Firefox denuntiavit mechanismum (Encrypted Client Hello) mechanismum, qui progressionem ESNI (Servo Encrypted Nomen Indicationis) technologiam denuntiavit et ad informationem encrypt de parametris sessionum TLS ut petitum nomen dominii. Codex ad operandum cum ECH in Firefox 85 emissio originaliter addita est, sed per defaltam debilitata est. Chrome paulatim includere ECH subsidii incipiendo a emissione Chrome 115 incepit.
Cum praeter coniunctionem cum server Informationes de dominio petitae per DNS divulgantur. Pro plena protectione, praeter ECH, DNS per HTTPS vel DNS per TLS uti debes ad commeatum DNS encryptandum. Firefox ECH non utetur nisi DNS per HTTPS in optionibus activaverit. Auxilium ECH in navigatro tuo in hac pagina inspicere potes.
One of the factors that enabled ECH support by default in Firefox was Cloudflare's inclusion of ECH support in its content delivery network paucis diebus abhinc. In practica parte, cum notitia de hostiis petitis cum utens ECH lateat ab analysi, percolando et claudendo sites inutiles utens Cloudflare CDN, nunc requiret retis Cloudflare totam interclusionem, omnes petitiones ECH interclusas, vel interceptionem HTTPS ordinans utens fake radice testimoniales. in user ratio.
Initio, ad instituendum opus in una IP inscriptione plurium HTTPS situm, extensio TLS SNI adhibita est, in qua nomen hospitis rogatae indicatum est in ClientHello nuntium transmissum antequam canalem communicationis encryptatum institueret. Haec factura per virtualem militiam petitiones distribuere potest in praematuro nexu processui, sed etiam in ISP parte fieri potest ut selective spargantur HTTPS negotiatio et analyses quae sites utentis aperit, quod perficere secreto utendo assequi non permisit. HTTPS.
Ad hanc problema solvendam ac ne lacus informationum de situ rogatae, extensio ESNI postea proposita est instrumentorum notitiae encryption cum nomine exercitus. Per exsecutionem ESNI revelatum est propositum mechanismum non omnes fontes hospites possibilium notitiarum lacus operire et eius usus non satis esse ut integram sessionum HTTPS secreto curaret. Praesertim cum resumpserit sessionem antea constitutam, nomen regio in claris textibus definiendum inter parametri PSK (Pre-Shared Key) TLS extensionem designatur. Praeterea conatus efficiendi ESNI notificaverunt convenientiam et quaestiones scandentes, quae ESNI adoptionem late prohibuerunt.
Inspectata notabilium defectuum ESNI, nova machina universalis ECH evoluta est quae encryptionem parametri cuiusvis extensionum TLS concedit. Technice, summa differentia inter ECH et ESNI est quod pro singulis agris, tota ClientHello nuntius statim inculcatur. ECH involvit scindendo ClientHello in duas epistulas separatas - nuntium ClientHelloInner (SNI Inner) et in unencrypted nuntium ClientHelloOuter subiectae (SNI Outer). SNI Externus unencryptus notas non secretas portat sicut versionis TLS et notarum notarum usus, necnon nomen dominii communis, quod cum ipso nomine dominii rogatae non incidit. Exempli gratia, omnibus clientibus Cloudflare, unencrypted SNI Outer significat exercitum communem "cloudflare-ech.com", sed actuale nomen hospitis rogatae in encrypted SNI interioris transmittitur et ad analysim praesto non est.
ECH etiam schema distributionis clavium encryptionis diversum adhibet: notitiae clavis publicae per inscriptiones DNS HTTPSSVC potius quam per inscriptiones TXT transmittuntur. Encryptio authentica ab initio ad finem, in mechanismo HPKE (Hybrid Public Key Encryption) fundata, ad clavem obtinendam et encryptandam adhibetur. ECH etiam retransmissionem securam clavium a servo sustinet, quae in casu rotationis clavium adhiberi potest. server et ad solvenda problemata cum recuperandis clavibus obsoletis e celario DNS.
Source: opennet.ru
