Kua panuitia e Mozilla te whakauru o te tautoko mo nga kaiwhakamahi o te peka pumau o Firefox mo te tikanga ECH (Encrypted Client Hello), e haere tonu ana te whakawhanaketanga o te hangarau ESNI (Encrypted Server Name Indication) me te hoahoa ki te whakamuna korero mo nga tawhā o nga huihuinga TLS. , penei i te ingoa rohe i tonoa. Ko te Waehere mo te mahi tahi me ECH i taapiri tuatahi ki te tukunga Firefox 85, engari i monoa e te taunoa. I timata a Chrome ki te whakauru i te tautoko ECH mai i te tukunga o Chrome 115.
Mai i te mea hei tāpiri atu ki te hono atu ki tūmau Ka turuturu ngā mōhiohio rohe e tonoa ana mā te DNS. Mō te tiakitanga katoa, hei tāpiri atu ki te ECH, me whakamahi koe i te DNS i runga i te HTTPS, i te DNS rānei i runga i te TLS hei whakamuna i te haere o te DNS. Kāore a Firefox e whakamahi i te ECH me te kore e whakahohe i te DNS i runga i te HTTPS i roto i ngā tautuhinga. Ka taea e koe te tirotiro i te tautoko ECH i roto i tō pūtirotiro i tēnei whārangi.
Ko tetahi o nga mea i taea ai te tautoko a te ECH ma te taunoa i Firefox ko te whakauru a Cloudflare i te tautoko ECH i roto i tana whatunga tuku ihirangi i etahi ra kua hipa. I te taha mahi, na te mea ka huna nga raraunga mo nga kaihautu i tonohia i te wa e whakamahi ana i te ECH mai i te tātaritanga, ko te tātari me te aukati i nga waahi e kore e hiahiatia ma te whakamahi i te Cloudflare CDN ka hiahia inaianei ki te aukati i te whatunga Cloudflare katoa, te aukati i nga tono katoa mai i te ECH, te whakarite ranei i te wawaotanga HTTPS ma te whakamahi i nga tiwhikete pakiaka rūpahu. i runga i te punaha kaiwhakamahi.
I te timatanga, ki te whakarite mahi i runga i tetahi wahitau IP o etahi waahi HTTPS, i whakamahia te TLS toronga SNI, i tohuhia te ingoa o te kaihautu i tonohia i roto i te karere ClientHello i tukuna i mua i te whakaturanga i tetahi hongere korero whakamunatia. Na tenei ahuatanga i taea ai te tohatoha tono puta noa i nga kaihautu mariko i te timatanga o te tukatuka hononga, engari i taea ano e te taha ISP te whiriwhiri i nga hokohoko HTTPS me te tātari i nga waahi ka whakatuwherahia e te kaiwhakamahi, kaore i whakaae kia tutuki te noho muna i te wa e whakamahi ana. HTTPS.
Hei whakaoti i tenei raruraru me te aukati i te pakaru o nga korero mo te waahi i tonohia, i muri mai ka whakaarohia he toronga ESNI hei whakatinana i te whakamunatanga raraunga me te ingoa kaihautu. I te wa o te whakatinanatanga o te ESNI, i kitea ko te tikanga e whakaarohia ana kaore e kapi katoa nga puna korero mo te rerenga raraunga kaihautu me tana whakamahinga kaore e ranea ki te whakapumau i te noho muna o nga huihuinga HTTPS. Ina koa, i te wa e timata ana ano i te waahi kua whakaritea i mua, ka tohua tonu te ingoa rohe i roto i nga tuhinga maamaa i waenga i nga tawhā o te toronga PSK (Pre-Shared Key) TLS. I tua atu, ko nga mahi ki te whakatinana i te ESNI kua kitea te hototahitanga me te whakatau i nga take i aukati i te whaanuitanga o te ESNI.
Ma te whai whakaaro ki nga ngoikoretanga o te ESNI, i hangaia he tikanga ECH ao katoa e taea ai te whakamunatanga o nga tawhā o tetahi toronga TLS. Ma te hangarau, ko te rereketanga nui i waenga i te ECH me te ESNI ko te kore o nga mara takitahi, ka whakamunatia te katoa o te karere ClientHello i te wa kotahi. Ko te ECH he wehewehe i te ClientHello kia rua nga karere motuhake - ko te karere ClientHelloInner kua whakamunatia (SNI Inner) me te karere ClientHelloOuter kei raro (SNI Outer). Ko te SNI Outer kaore i whakamunatia e mau ana i nga raraunga huna-kore penei i te putanga TLS me te rarangi o nga ciphers i whakamahia, me te ingoa rohe noa e kore e whiti ki te ingoa tuturu o te rohe i tonoa. Hei tauira, mo nga kiritaki Cloudflare katoa, ko te SNI Outer kaore i whakamunatia e tohu ana i te kaihautu noa "cloudflare-ech.com", engari ko te ingoa tuturu o te kaihautu tono ka tukuna i roto i te SNI Inner whakamunatia, kaore i te waatea mo te tātari.
He rerekē anō te kaupapa tohatoha kī whakamuna a ECH: ka tukuna ngā mōhiohio kī tūmatanui i roto i ngā pūkete DNS HTTPSSVC, kaua i ngā pūkete TXT. Ka whakamahia te whakamunatanga manatoko mai i te pito ki te pito i runga i te tikanga HPKE (Hybrid Public Key Encryption) hei tiki me te whakamuna i te kī. Ka tautoko hoki a ECH i te tuku anō i ngā kī haumaru mai i te tūmau, ka taea te whakamahi mēnā ka hurihia te kī. tūmau me te whakatau i ngā take e pā ana ki te tiki i ngā kī tawhito mai i te keteroki DNS.
Source: opennet.ru
