Mozilla اعلان ڪيو آهي ته فائر فاڪس جي مستحڪم برانچ جي استعمال ڪندڙن لاءِ سپورٽ شامل ڪرڻ جو ECH (انڪريپٹڊ ڪلائنٽ هيلو) ميڪانيزم، جيڪو ESNI (انڪريپٹڊ سرور نيم انڊيڪيشن) ٽيڪنالاجي جي ترقي کي جاري رکي ٿو ۽ TLS سيشن جي پيرا ميٽرز بابت معلومات کي انڪرپٽ ڪرڻ لاءِ ٺهيل آهي. , جيئن درخواست ڪيل ڊومين جو نالو. ECH سان ڪم ڪرڻ لاءِ ڪوڊ اصل ۾ فائر فاڪس 85 رليز ۾ شامل ڪيو ويو، پر ڊفالٽ طور بند ڪيو ويو. ڪروم 115 جي ڇڏڻ سان شروع ٿيندڙ ECH سپورٽ شامل ڪرڻ شروع ڪيو.
جيئن ته ڳنڍڻ کان علاوه سرور درخواست ڪيل ڊومين جي معلومات DNS ذريعي لڪي وئي آهي. مڪمل تحفظ لاءِ، ECH کان علاوه، توهان کي DNS ٽرئفڪ کي انڪرپٽ ڪرڻ لاءِ HTTPS تي DNS يا TLS تي DNS استعمال ڪرڻ گهرجي. فائر فاڪس سيٽنگن ۾ HTTPS تي DNS کي فعال ڪرڻ کان سواءِ ECH استعمال نه ڪندو. توهان هن صفحي تي پنهنجي برائوزر ۾ ECH سپورٽ چيڪ ڪري سگهو ٿا.
انهن عنصرن مان هڪ جنهن ECH سپورٽ کي فائر فاڪس ۾ ڊفالٽ طور فعال ڪيو هو Cloudflare جي ECH سپورٽ کي شامل ڪرڻ ان جي مواد جي ترسيل نيٽ ورڪ ۾ ڪجهه ڏينهن اڳ. عملي پاسي، جيئن ته درخواست ڪيل ميزبانن بابت ڊيٽا جڏهن ECH استعمال ڪندي تجزيي کان لڪيل آهي، Cloudflare CDN استعمال ڪندي ناپسنديده سائيٽن کي فلٽر ڪرڻ ۽ بلاڪ ڪرڻ لاءِ هاڻي پوري Cloudflare نيٽ ورڪ کي بلاڪ ڪرڻ، ECH کان سڀني درخواستن کي بلاڪ ڪرڻ، يا جعلي روٽ سرٽيفڪيٽ استعمال ڪندي HTTPS مداخلت کي منظم ڪرڻ جي ضرورت پوندي. صارف سسٽم تي.
شروعات ۾، ڪيترن ئي HTTPS سائيٽن جي هڪ IP پتي تي ڪم کي منظم ڪرڻ لاءِ، TLS ايڪسٽينشن SNI استعمال ڪيو ويو، جنهن ۾ درخواست ڪيل ميزبان جو نالو اشارو ڪيو ويو ڪلائنٽ هيلو پيغام ۾ جيڪو انڪريپٽ ٿيل ڪميونيڪيشن چينل قائم ڪرڻ کان اڳ منتقل ڪيو ويو. ھن خصوصيت ڪنيڪشن پروسيسنگ جي شروعاتي مرحلي ۾ درخواستن کي ورچوئل ھوسٽس ۾ ورهائڻ ممڪن بڻايو، پر ان کي پڻ ISP پاسي تي ممڪن بڻايو ته چونڊيل HTTPS ٽرئفڪ کي فلٽر ڪري ۽ تجزيو ڪيو ته ڪھڙي سائيٽن کي صارف کولي ٿو، جنھن کي استعمال ڪرڻ وقت مڪمل رازداري حاصل ڪرڻ جي اجازت نه ڏني وئي. HTTPS.
هن مسئلي کي حل ڪرڻ ۽ درخواست ڪيل سائيٽ بابت معلومات جي ليڪ کي روڪڻ لاءِ، هڪ ESNI توسيع بعد ۾ تجويز ڪئي وئي جيڪا ميزبان جي نالي سان ڊيٽا انڪرپشن کي لاڳو ڪري ٿي. ESNI جي عمل جي دوران، اهو ظاهر ڪيو ويو ته تجويز ڪيل ميڪانيزم ميزبان ڊيٽا جي لڪيج جي سڀني ممڪن ذريعن کي ڍڪي نه ٿو ڏئي ۽ ان جو استعمال HTTPS سيشن جي مڪمل رازداري کي يقيني بڻائڻ لاء ڪافي ناهي. خاص طور تي، جڏهن اڳ ۾ قائم ڪيل سيشن کي ٻيهر شروع ڪيو وڃي، ڊومين جو نالو واضح متن ۾ PSK (Pre-Shared Key) TLS ايڪسٽينشن جي پيرا ميٽرن ۾ بيان ڪيو ويندو رهيو. ان کان علاوه، ESNI کي لاڳو ڪرڻ جي ڪوششن مطابقت ۽ اسڪيلنگ مسئلن جي نشاندهي ڪئي آهي جيڪي ESNI جي وسيع اپنائڻ کي روڪيو آهي.
ESNI جي سڃاڻپ ٿيل نقصن کي مدنظر رکندي، هڪ نئون آفاقي ECH ميڪانيزم تيار ڪيو ويو جيڪو ڪنهن به TLS ايڪسٽينشن جي پيرا ميٽرز جي انڪرپشن جي اجازت ڏئي ٿو. تخنيقي طور تي، ECH ۽ ESNI جي وچ ۾ بنيادي فرق اهو آهي ته انفرادي شعبن جي بدران، سڄو ڪلائنٽ هيلو پيغام هڪ ڀيرو انڪريپٽ ڪيو ويو آهي. ECH ۾ ڪلائنٽ هيلو کي ٻن الڳ پيغامن ۾ ورهائڻ شامل آهي- انڪريپٹ ٿيل ClientHelloInner ميسيج (SNI Inner) ۽ Unencrypted underlying ClientHelloOuter پيغام (SNI Outer). هڪ غير انڪرپٽ ٿيل SNI اوٽر غير رازداري ڊيٽا رکي ٿو جهڙوڪ TLS ورزن ۽ استعمال ٿيل سائفرن جي هڪ فهرست، انهي سان گڏ هڪ عام ڊومين جو نالو جيڪو گهربل ڊومين جي اصل نالي سان اوورليپ نٿو ٿئي. مثال طور، سڀني Cloudflare ڪلائنٽ لاءِ، غير انڪرپٽ ٿيل SNI Outer عام ميزبان "cloudflare-ech.com" کي بيان ڪري ٿو، پر درخواست ڪيل ميزبان جو اصل نالو انڪريپٽ ٿيل SNI اندروني ۾ منتقل ٿيل آهي ۽ تجزيو لاءِ دستياب ناهي.
ECH هڪ مختلف انڪرپشن ڪي ورهائڻ واري اسڪيم پڻ استعمال ڪري ٿو: عوامي ڪي معلومات TXT ريڪارڊن جي بدران HTTPSSVC DNS ريڪارڊن ۾ منتقل ڪئي ويندي آهي. HPKE (هائبرڊ پبلڪ ڪي انڪرپشن) ميڪانيزم تي ٻڌل تصديق ٿيل اينڊ-ٽو-اينڊ انڪرپشن ڪي حاصل ڪرڻ ۽ انڪرپٽ ڪرڻ لاءِ استعمال ڪئي ويندي آهي. ECH سرور کان محفوظ ڪي ري ٽرانسميشن کي پڻ سپورٽ ڪري ٿو، جيڪو ڪي روٽيشن جي صورت ۾ استعمال ڪري سگهجي ٿو. سرور ۽ DNS ڪيش مان پراڻيون ڪيز حاصل ڪرڻ سان مسئلن کي حل ڪرڻ لاءِ.
جو ذريعو: opennet.ru
