Firefox နှင့် Cloudflare သည် HTTPS အသွားအလာတွင် ဝှက်ထားသော ဒိုမိန်းအတွက် ECH ပံ့ပိုးမှုကို ဖွင့်ပေးသည်။

Mozilla သည် Firefox တည်ငြိမ်သောအသုံးပြုသူများအတွက် ECH (Encrypted Client Hello) ယန္တရားအတွက် ပံ့ပိုးမှုပေးထားကြောင်း Mozilla မှကြေငြာခဲ့သည်။ ၎င်းသည် ESNI (ကုဒ်ဝှက်ထားသော ဆာဗာအမည် ညွှန်ပြမှု) နည်းပညာ၏ ဆက်နွှယ်မှုတစ်ခုဖြစ်ပြီး တောင်းဆိုထားသော ဒိုမိန်းအမည်ကဲ့သို့သော TLS စက်ရှင်ကန့်သတ်ချက်များဆိုင်ရာ အချက်အလက်များကို စာဝှက်ရန် ဒီဇိုင်းထုတ်ထားသည်။ ကနဦးတွင်၊ ECH နှင့် အလုပ်လုပ်ရန်အတွက် ကုဒ်ကို Firefox 85 ထုတ်ဝေမှုတွင် ထည့်သွင်းခဲ့သော်လည်း မူရင်းအားဖြင့် ပိတ်ထားသည်။ Chrome တွင်၊ ECH ပံ့ပိုးမှုကို Chrome 115 ထုတ်ဝေမှုမှ စတင်ကာ တဖြည်းဖြည်း ထည့်သွင်းထားပါသည်။

ချိတ်ဆက်ခြင်းအပြင်၊ ဆာဗာ တောင်းဆိုထားသော ဒိုမိန်းအချက်အလက်များကို DNS မှတစ်ဆင့် ပေါက်ကြားစေပါသည်။ အပြည့်အဝကာကွယ်မှုအတွက် ECH အပြင် DNS traffic ကို encrypt လုပ်ရန် DNS over HTTPS သို့မဟုတ် DNS over TLS ကို အသုံးပြုရပါမည်။ Firefox သည် setting တွင် DNS over HTTPS ကိုဖွင့်မထားပါက ECH ကိုအသုံးမပြုပါ။ ဤစာမျက်နှာတွင် သင့်ဘရောက်ဆာတွင် ECH ပံ့ပိုးမှုကို စစ်ဆေးနိုင်ပါသည်။

Firefox မှ ECH ပံ့ပိုးမှုကို မူရင်းအတိုင်း ဖွင့်ပေးနိုင်သည့် အကြောင်းအရင်းတစ်ခုမှာ လွန်ခဲ့သည့်ရက်အနည်းငယ်က ၎င်း၏ အကြောင်းအရာပေးပို့ခြင်းကွန်ရက်တွင် Cloudflare ကို ဖွင့်ပေးသည့်အချက်ဖြစ်သည်။ လက်တွေ့ကျသောအားဖြင့်၊ ECH ကိုအသုံးပြုသည့်အခါ တောင်းဆိုထားသော host များဆိုင်ရာ ဒေတာကို ခွဲခြမ်းစိတ်ဖြာခြင်းမှ ဝှက်ထားသောကြောင့် Cloudflare ၏ CDN ကို အသုံးပြု၍ မလိုလားအပ်သောဆိုက်များကို စစ်ထုတ်ခြင်းနှင့် ပိတ်ဆို့ခြင်းများသည် ယခုအခါ Cloudflare ကွန်ရက်တစ်ခုလုံးကို ပိတ်ဆို့ခြင်း၊ ECH ဖြင့် တောင်းဆိုမှုများအားလုံးကို ပိတ်ဆို့ခြင်း သို့မဟုတ် HTTPS ကြားဖြတ်ပေးခြင်းတို့ကို လုပ်ဆောင်ရန် လိုအပ်ပါသည်။

အစပိုင်းတွင်၊ SNI TLS တိုးချဲ့မှုကို HTTPS ဆိုက်များစွာ၏ IP လိပ်စာတစ်ခုတွင် အလုပ်စုစည်းရန်အတွက် အသုံးပြုခဲ့ပြီး၊ ယင်းတွင် တောင်းဆိုထားသော host ၏အမည်ကို ကုဒ်ဝှက်ထားသောဆက်သွယ်ရေးချန်နယ်ကို မတည်ထောင်မီ ပေးပို့သော ClientHello မက်ဆေ့ဂျ်တွင် သတ်မှတ်ထားသည့်အရာဖြစ်သည်။ ဤအင်္ဂါရပ်သည် ချိတ်ဆက်မှုလုပ်ဆောင်ခြင်း၏အစောပိုင်းအဆင့်တွင် virtual host များအကြား တောင်းဆိုမှုများကို ဖြန့်ဝေနိုင်စေခဲ့သည်၊ သို့သော် HTTPS ကိုအသုံးပြုသည့်အချိန်တွင် ပြီးပြည့်စုံသောလျှို့ဝှက်ချက်ကိုရရှိရန် ခွင့်မပြုသည့်အင်တာနက်ဝန်ဆောင်မှုပေးသူကို HTTPS အသွားအလာကိုရွေးချယ်ပြီး အသုံးပြုသူဖွင့်သည့်ဆိုက်များကိုခွဲခြမ်းစိတ်ဖြာရန်လည်းခွင့်ပြုထားသည်။

ဤပြဿနာကိုဖြေရှင်းရန်နှင့် တောင်းဆိုထားသောဆိုက်နှင့်ပတ်သက်သည့်အချက်အလက်ပေါက်ကြားမှုကိုကာကွယ်ရန်၊ ESNI တိုးချဲ့မှုကို လက်ခံဆောင်ရွက်ပေးသူအမည်ဖြင့် ဒေတာကို ကုဒ်ဝှက်ခြင်းကို အကောင်အထည်ဖော်ရန် နောက်ပိုင်းတွင် အဆိုပြုခဲ့သည်။ ESNI ကို အကောင်အထည်ဖော်စဉ်အတွင်း၊ အဆိုပြုထားသော ယန္တရားသည် လက်ခံသူဒေတာပေါက်ကြားမှု ဖြစ်နိုင်ခြေရှိသော အရင်းအမြစ်အားလုံးကို မဖုံးကွယ်ထားပြီး HTTPS ဆက်ရှင်များ၏ လျှို့ဝှက်မှုကို သေချာစေရန် ၎င်း၏အသုံးပြုမှုသည် မလုံလောက်ကြောင်း တွေ့ရှိရပါသည်။ အထူးသဖြင့်၊ ယခင်က သတ်မှတ်ထားသော စက်ရှင်တစ်ခုကို ပြန်လည်စတင်သည့်အခါ၊ ရှင်းရှင်းလင်းလင်း စာသားရှိ ဒိုမိန်းအမည်ကို PSK (Pre-Shared Key) TLS တိုးချဲ့မှု၏ ကန့်သတ်ဘောင်များကြားတွင် ဆက်လက်သတ်မှတ်ထားသည်။ ထို့အပြင်၊ ESNI ကို အကောင်အထည်ဖော်ရန် ကြိုးပမ်းမှုများသည် ESNI ၏ ကျယ်ကျယ်ပြန့်ပြန့် ဖြန့်ဖြူးမှုကို ဟန့်တားနိုင်သည့် လိုက်ဖက်ညီမှုနှင့် အတိုင်းအတာ ပြဿနာများကို ဖော်ထုတ်ပြသခဲ့သည်။

ESNI ၏ ခွဲခြားသတ်မှတ်ထားသော ချို့ယွင်းချက်များကို ထည့်သွင်းစဉ်းစား၍ TLS တိုးချဲ့မှုများ၏ ကန့်သတ်ဘောင်များကို ကုဒ်ဝှက်ခြင်းခွင့်ပြုသည့် universal ယန္တရားအသစ် ECH ကို တီထွင်ခဲ့သည်။ နည်းပညာအရ ECH နှင့် ESNI အကြား အဓိကကွာခြားချက်မှာ အကွက်တစ်ခုစီအစား၊ ClientHello မက်ဆေ့ဂျ်တစ်ခုလုံးကို တစ်ပြိုင်နက် ကုဒ်ဝှက်ထားသည်။ ECH တွင် ClientHello ကို သီးခြားမက်ဆေ့ချ်နှစ်ခုအဖြစ် ပိုင်းခြားခြင်းပါဝင်သည် - ကုဒ်ဝှက်ထားသော ClientHelloInner (SNI Inner) မက်ဆေ့ဂျ်နှင့် ကုဒ်ဝှက်မထားသော အခြေခံ ClientHelloOuter (SNI Outer) မက်ဆေ့ချ်တစ်ခု။ ကုဒ်မထားသော SNI Outer သည် TLS ဗားရှင်းနှင့် အသုံးပြုထားသော စာဝှက်များစာရင်းကဲ့သို့ အရေးကြီးသောမဟုတ်သော အချက်အလက်များကို ပေးပို့ပြီး တောင်းဆိုထားသော ဒိုမိန်း၏ အမှန်တကယ်အမည်နှင့် ထပ်မနေသည့် ဘုံဒိုမိန်းအမည်တစ်ခုဖြစ်သည်။ ဥပမာအားဖြင့်၊ Cloudflare ဖောက်သည်များအားလုံးအတွက်၊ ကုဒ်မထားသော SNI Outer သည် ဘုံအိမ်ရှင် "cloudflare-ech.com" ကို သတ်မှတ်ပေးပြီး တောင်းဆိုထားသော လက်ခံသူ၏ အမှန်တကယ်အမည်ကို ကုဒ်ဝှက်ထားသော SNI အတွင်းပိုင်း၌ ထုတ်လွှင့်ပြီး ခွဲခြမ်းစိတ်ဖြာရန် မရရှိနိုင်ပါ။

ECH သည် မတူညီသော ကုဒ်ဝှက်ခြင်းသော့ ဖြန့်ဝေမှုပုံစံကိုလည်း အသုံးပြုသည်- public key အချက်အလက်များကို TXT မှတ်တမ်းများအစား HTTPSSSVC DNS မှတ်တမ်းများတွင် ပေးပို့သည်။ HPKE (Hybrid Public Key Encryption) ယန္တရားအပေါ် အခြေခံ၍ အထောက်အထားပြုထားသော end-to-end encryption ကို key ရယူရန်နှင့် encrypt လုပ်ရန် အသုံးပြုသည်။ ECH သည် server မှ လုံခြုံသော key ပြန်လည်ထုတ်လွှင့်မှုကိုလည်း ပံ့ပိုးပေးပြီး key လည်ပတ်မှုတွင် အသုံးပြုနိုင်သည်။ ဆာဗာ နှင့် DNS cache မှ ခေတ်မမီတော့သော key များကို ပြန်လည်ရယူခြင်းနှင့်ပတ်သက်သည့် ပြဿနာများကို ဖြေရှင်းရန်။

source: opennet.ru