Mozilla ir paziņojusi par Firefox stabilā atzara lietotāju atbalsta iekļaušanu ECH (Encrypted Client Hello) mehānismam, kas turpina ESNI (Encrypted Server Name Indication) tehnoloģijas attīstību un ir paredzēts informācijas šifrēšanai par TLS sesiju parametriem. , piemēram, pieprasītais domēna nosaukums. Kods darbam ar ECH sākotnēji tika pievienots Firefox 85 laidienam, taču pēc noklusējuma tas tika atspējots. Sākot ar Chrome 115 izlaišanu, pārlūkā Chrome pakāpeniski tika iekļauts ECH atbalsts.
Tā kā papildus saziņai ar serveris Pieprasītā domēna informācija ir nopludināta, izmantojot DNS. Lai nodrošinātu pilnīgu aizsardzību, papildus ECH ir jāizmanto DNS pār HTTPS vai DNS pār TLS, lai šifrētu DNS datplūsmu. Firefox neizmantos ECH, ja iestatījumos netiks iespējota DNS pār HTTPS. Šajā lapā varat pārbaudīt ECH atbalstu savā pārlūkprogrammā.
Viens no faktoriem, kas aktivizēja ECH atbalstu pēc noklusējuma pārlūkprogrammā Firefox, bija Cloudflare ECH atbalsta iekļaušana savā satura piegādes tīklā pirms dažām dienām. No praktiskā viedokļa, tā kā dati par pieprasītajiem resursdatoriem, izmantojot ECH, ir paslēpti no analīzes, nevēlamu vietņu filtrēšana un bloķēšana, izmantojot Cloudflare CDN, tagad prasīs bloķēt visu Cloudflare tīklu, bloķēt visus pieprasījumus no ECH vai organizēt HTTPS pārtveršanu, izmantojot viltotus saknes sertifikātus. lietotāja sistēmā.
Sākotnēji, lai organizētu darbu pie vienas vairāku HTTPS vietņu IP adreses, tika izmantots TLS paplašinājums SNI, kurā tika norādīts pieprasītā saimniekdatora nosaukums ClientHello ziņojumā, kas tika nosūtīts pirms šifrēta sakaru kanāla izveides. Šī funkcija ļāva izplatīt pieprasījumus starp virtuālajiem resursdatoriem savienojuma apstrādes sākumposmā, kā arī ļāva ISP pusē selektīvi filtrēt HTTPS trafiku un analizēt, kuras vietnes lietotājs atver, kas neļāva sasniegt pilnīgu konfidencialitāti, lietojot. HTTPS.
Lai atrisinātu šo problēmu un novērstu informācijas noplūdi par pieprasīto vietni, vēlāk tika piedāvāts ESNI paplašinājums, kas ievieš datu šifrēšanu ar resursdatora nosaukumu. ESNI ieviešanas laikā atklājās, ka piedāvātais mehānisms neaptver visus iespējamos resursdatora datu noplūdes avotus un tā izmantošana nav pietiekama, lai nodrošinātu HTTPS sesiju pilnīgu konfidencialitāti. Jo īpaši, atsākot iepriekš izveidotu sesiju, domēna nosaukums skaidrā tekstā joprojām tika norādīts starp PSK (Pre-Shared Key) TLS paplašinājuma parametriem. Turklāt ESNI ieviešanas centieni ir identificējuši saderības un mērogošanas problēmas, kas ir kavējušas ESNI plašu ieviešanu.
Ņemot vērā konstatētās ESNI nepilnības, tika izstrādāts jauns universāls ECH mehānisms, kas ļauj šifrēt jebkuru TLS paplašinājumu parametrus. Tehniski galvenā atšķirība starp ECH un ESNI ir tā, ka atsevišķu lauku vietā viss ClientHello ziņojums tiek šifrēts uzreiz. ECH ietver ClientHello sadalīšanu divos atsevišķos ziņojumos - šifrētajā ClientHelloInner ziņojumā (SNI Inner) un nešifrētajā pamatā esošajā ClientHelloOuter ziņojumā (SNI Outer). Nešifrētais SNI Outer satur datus, kas nav privāti, piemēram, TLS versija un izmantoto šifru saraksts, kā arī kopīgs domēna nosaukums, kas nepārklājas ar pieprasītā domēna faktisko nosaukumu. Piemēram, visiem Cloudflare klientiem nešifrētais SNI Outer norāda kopējo resursdatoru "cloudflare-ech.com", bet pieprasītā resursdatora faktiskais nosaukums tiek pārsūtīts šifrētajā SNI Inner un nav pieejams analīzei.
ECH izmanto arī atšķirīgu šifrēšanas atslēgu izplatīšanas shēmu: publiskās atslēgas informācija tiek pārraidīta HTTPSSVC DNS ierakstos, nevis TXT ierakstos. Atslēgas iegūšanai un šifrēšanai tiek izmantota autentificēta pilnīga šifrēšana, kuras pamatā ir HPKE (hibrīda publiskās atslēgas šifrēšana) mehānisms. ECH atbalsta arī drošu atslēgas atkārtotu pārraidi no servera, ko var izmantot atslēgas rotācijas gadījumā. serveris un lai atrisinātu problēmas ar novecojušu atslēgu izgūšanu no DNS kešatmiņas.
Avots: opennet.ru
