Mozilla dia nanambara ny fampidirana ny fanohanana ireo mpampiasa ny sampana miorina amin'ny Firefox ho an'ny ECH (Encrypted Client Hello), izay manohy ny fampivoarana ny teknolojia ESNI (Encrypted Server Name Indication) ary natao hametahana vaovao momba ny mason'ny TLS sessions. , toy ny anaran-tsehatra nangatahana. Ny fehezan-dalàna momba ny fiaraha-miasa amin'ny ECH dia nampidirina tamin'ny famoahana Firefox 85 tany am-boalohany, saingy tsy nesorina tamin'ny alàlan'ny default. Nanomboka nampiditra tsikelikely ny fanohanan'ny ECH ny Chrome nanomboka tamin'ny famoahana ny Chrome 115.
Satria ankoatra ny fifandraisana amin'ny mpizara Mivoaka amin'ny alalan'ny DNS ny fampahalalana momba ny sehatra nangatahana. Ho fiarovana feno, ankoatra ny ECH, dia tsy maintsy mampiasa DNS amin'ny HTTPS na DNS amin'ny TLS ianao mba hanafenana ny fifamoivoizana DNS. Tsy hampiasa ECH ny Firefox raha tsy mamela ny DNS amin'ny HTTPS ao amin'ny fikirana. Azonao jerena ao amin'ny navigateur-nao ato amin'ity pejy ity ny fanohanana ny ECH.
Ny iray amin'ireo antony nahatonga ny fanohanan'ny ECH tamin'ny alàlan'ny default ao amin'ny Firefox dia ny fampidirana Cloudflare ny fanohanan'ny ECH tao amin'ny tambajotra fandefasana votoaty andro vitsy lasa izay. Amin'ny lafiny azo ampiharina, satria ny angon-drakitra momba ny mpampiantrano nangatahana rehefa mampiasa ECH dia miafina amin'ny fanadihadiana, ny fanivanana sy ny fanakanana ireo tranonkala tsy ilaina amin'ny fampiasana Cloudflare CDN dia mitaky ny fanakanana ny tambajotra Cloudflare manontolo, ny fanakanana ny fangatahana rehetra avy amin'ny ECH, na ny fandaminana ny fisamborana HTTPS amin'ny fampiasana ny taratasy fanamarinana faka hosoka. amin'ny rafitra mpampiasa.
Tamin'ny voalohany, mba handaminana ny asa amin'ny adiresy IP iray amin'ny tranokala HTTPS maromaro, dia nampiasaina ny fanitarana TLS SNI, izay nanondroana ny anaran'ilay mpampiantrano nangatahana tao amin'ny hafatra ClientHello nampitaina alohan'ny nananganana fantsom-pifandraisana miafina. Io endri-javatra io dia nahafahany nizara ny fangatahana tamin'ny mpampiantrano virtoaly tamin'ny dingana voalohan'ny fanodinana fifandraisana, fa natao ihany koa tamin'ny lafiny ISP mba hanivana ny fifamoivoizana HTTPS ary hamakafaka izay tranonkala sokafan'ny mpampiasa, izay tsy mamela ny fahazoana tsiambaratelo tanteraka rehefa mampiasa. HTTPS.
Mba hamahana ity olana ity sy hisorohana ny fahapotehan'ny vaovao momba ny tranokala nangatahana, dia natolotra ny fanitarana ESNI taty aoriana izay mametraka fanafenana angon-drakitra miaraka amin'ny anaran'ny mpampiantrano. Nandritra ny fampiharana ny ESNI, dia nambara fa ny rafitra naroso dia tsy mandrakotra ny loharano rehetra mety hitranga amin'ny famoahana angon-drakitra mpampiantrano ary tsy ampy ny fampiasana azy mba hiantohana ny tsiambaratelo tanteraka amin'ny fivoriana HTTPS. Indrindra indrindra, rehefa mamerina indray ny fivoriana efa naorina teo aloha, ny anaran-tsehatra amin'ny lahatsoratra mazava dia nitohy nofaritana teo anivon'ireo mason'ny fanitarana PSK (Pre-Shared Key) TLS. Fanampin'izany, ny ezaka amin'ny fampiharana ny ESNI dia nahitana olana momba ny fifanarahana sy ny fampitomboana izay nanakana ny fampiasana ny ESNI.
Raha jerena ireo lesoka hita ao amin'ny ESNI, dia nisy rafitra ECH manerantany vaovao novolavolaina izay mamela ny fanafenana ny mari-pamantarana amin'ny fanitarana TLS. Ara-teknika, ny fahasamihafana lehibe eo amin'ny ECH sy ny ESNI dia ny hoe raha tokony ho an'ny saha tsirairay, ny hafatra ClientHello manontolo dia voarakotra indray mandeha. Ny ECH dia misy ny fizarana ny ClientHello ho hafatra roa misaraka - ny hafatra ClientHelloInner encrypted (SNI Inner) sy ny hafatra ClientHelloOuter tsy voafehy (SNI Outer). Ny SNI Outer tsy misy encryption dia mitondra angon-drakitra tsy tsiambaratelo toy ny dikan-teny TLS sy ny lisitry ny ciphers ampiasaina, ary koa ny anaran-tsehatra mahazatra izay tsy mifanipaka amin'ny tena anaran'ilay sehatra nangatahana. Ohatra, ho an'ny mpanjifa Cloudflare rehetra, ny SNI Outer tsy voasokajy dia mamaritra ny mpampiantrano mahazatra "cloudflare-ech.com", fa ny tena anaran'ilay mpampiantrano nangatahana dia ampitaina ao amin'ny SNI Inner voatahiry ary tsy azo anaovana fanadihadiana.
Mampiasa fomba fizarana lakile fanafenana hafa ihany koa ny ECH: ny fampahalalana momba ny lakile ampahibemaso dia alefa ao amin'ny firaketana DNS HTTPSSVC fa tsy ao amin'ny firaketana TXT. Ny fanafenana voamarina avy hatrany amin'ny farany mifototra amin'ny rafitra HPKE (Hybrid Public Key Encryption) no ampiasaina hahazoana sy hanafenana ny lakile. Manohana ny fandefasana lakile azo antoka avy amin'ny mpizara ihany koa ny ECH, izay azo ampiasaina raha misy fihodinan'ny lakile. mpizara ary hamaha ny olana amin'ny fakana ireo fanalahidy efa lany andro avy amin'ny cache DNS.
Source: opennet.ru
