موزیلا د ECH (کوډ شوي پیرودونکي هیلو) میکانیزم لپاره د فایرفوکس د مستحکم څانګې کاروونکو لپاره د ملاتړ شاملول اعلان کړي ، کوم چې د ESNI (د کوډ شوي سرور نوم نښې) ټیکنالوژۍ پراختیا ته دوام ورکوي او د TLS غونډو پیرامیټونو په اړه د معلوماتو کوډ کولو لپاره ډیزاین شوی. لکه د غوښتل شوي ډومین نوم. د ECH سره د کار کولو کوډ په اصل کې د فایرفوکس 85 ریلیز کې اضافه شوی و ، مګر د ډیفالټ لخوا غیر فعال شوی و. کروم ورو ورو د کروم 115 خوشې کولو سره د ECH ملاتړ شاملول پیل کړل.
ځکه چې د نښلولو سربیره سرور د غوښتل شوي ډومین معلومات د DNS له لارې افشا کیږي. د بشپړ خوندیتوب لپاره، د ECH سربیره، تاسو باید د DNS ټرافیک کوډ کولو لپاره د HTTPS له لارې DNS یا د TLS له لارې DNS وکاروئ. فایرفوکس به په ترتیباتو کې د HTTPS له لارې DNS فعالولو پرته ECH ونه کاروي. تاسو کولی شئ پدې پاڼه کې په خپل براوزر کې د ECH ملاتړ وګورئ.
یو له هغه فاکتورونو څخه چې په فایرفوکس کې یې د ډیفالټ په واسطه د ECH ملاتړ فعال کړ څو ورځې دمخه د Cloudflare لخوا د دې مینځپانګې تحویلي شبکې کې د ECH ملاتړ شاملول و. په عملي اړخ کې، ځکه چې د غوښتل شوي کوربه په اړه معلومات کله چې د ECH کارولو په وخت کې د تحلیل څخه پټ وي، د Cloudflare CDN په کارولو سره د ناغوښتل شوي سایټونو فلټر کول او بلاک کول به اوس د ټول کلاوډ فلیر شبکې بندولو ته اړتیا ولري، د ECH څخه ټولې غوښتنې بندې کړي، یا د جعلي روټ سندونو په کارولو سره د HTTPS مداخله تنظیم کړي. د کارونکي سیسټم کې.
په پیل کې، د څو HTTPS سایټونو په یوه IP پته کې د کار تنظیم کولو لپاره، د TLS توسیع SNI کارول کیده، په کوم کې چې د غوښتل شوي کوربه نوم د کوډ شوي ارتباطي چینل رامینځته کولو دمخه لیږدول شوي ClientHello پیغام کې ښودل شوی و. دې خصوصیت دا ممکنه کړې چې د پیوستون پروسس کولو په لومړي مرحله کې په مجازی کوربه کې غوښتنې توزیع کړي ، مګر د ISP اړخ کې یې هم دا ممکنه کړې چې په غوره توګه د HTTPS ترافیک فلټر کړي او تحلیل کړي چې کوم سایټونه کارونکي خلاصوي ، کوم چې د کارولو پرمهال د بشپړ محرمیت ترلاسه کولو اجازه نه ورکوي. HTTPS.
د دې ستونزې د حل کولو او د غوښتل شوي سایټ په اړه د معلوماتو د لیکیدو مخنیوي لپاره، وروسته د ESNI توسیع وړاندیز شوی چې د کوربه نوم سره د معلوماتو کوډ کول پلي کوي. د ESNI د پلي کولو په جریان کې، دا څرګنده شوه چې وړاندیز شوی میکانیزم د کوربه ډیټا لیکج ټولې ممکنه سرچینې نه پوښي او د هغې کارول د HTTPS غونډو بشپړ محرمیت ډاډمن کولو لپاره کافي ندي. په ځانګړې توګه، کله چې پخوانۍ جوړه شوې سیشن بیا پیل شي، په روښانه متن کې د ډومین نوم د PSK (مخکې شریک شوي کیلي) TLS توسیع د پیرامیټونو ترمنځ مشخص کیدو ته دوام ورکوي. برسېره پردې، د ESNI د پلي کولو هڅو د مطابقت او اندازه کولو مسلې په ګوته کړي چې د ESNI په پراخه کچه د منلو مخه نیسي.
د ESNI پیژندل شوي نیمګړتیاو په پام کې نیولو سره، یو نوی نړیوال ECH میکانیزم رامینځته شوی چې د هر ډول TLS توسیعونو پیرامیټونو کوډ کولو ته اجازه ورکوي. په تخنیکي توګه، د ECH او ESNI ترمنځ اصلي توپیر دا دی چې د انفرادي ساحو پرځای، د کلینټ هیلو ټول پیغام په یوځل کې کوډ شوی. ECH د ClientHello په دوه جلا پیغامونو ویشل شامل دي - کوډ شوی ClientHelloInner پیغام (SNI Inner) او غیر کوډ شوی کلینټ هیلو آؤټر پیغام (SNI Outer). یو نه کوډ شوی SNI اوټر غیر محرمیت ډیټا لري لکه د TLS نسخه او د کارول شوي سایفرونو لیست ، او همدارنګه یو عام ډومین نوم چې د غوښتل شوي ډومین اصلي نوم سره نه تیریږي. د مثال په توګه، د ټولو Cloudflare مراجعینو لپاره، غیر کوډ شوی SNI Outer عام کوربه "cloudflare-ech.com" مشخصوي، مګر د غوښتل شوي کوربه اصلي نوم په کوډ شوي SNI داخلي کې لیږدول کیږي او د تحلیل لپاره شتون نلري.
ECH د کوډ کولو د کیلي د ویش یو بل سکیم هم کاروي: د عامه کیلي معلومات د TXT ریکارډونو پرځای د HTTPSSVC DNS ریکارډونو کې لیږدول کیږي. د HPKE (هایبرډ عامه کیلي کوډ کولو) میکانیزم پراساس تصدیق شوی پای څخه تر پایه کوډ کول د کیلي ترلاسه کولو او کوډ کولو لپاره کارول کیږي. ECH د سرور څخه د خوندي کیلي بیا لیږد ملاتړ هم کوي، کوم چې د کیلي د گردش په صورت کې کارول کیدی شي. سرور او د DNS کیش څخه د زړو کیليونو د ترلاسه کولو سره د ستونزو حل کول.
سرچینه: opennet.ru
