Mozilla විසින් ESNI (Encrypted Server Name Indication) තාක්ෂණයේ දියුණුව දිගටම කරගෙන යන සහ TLS සැසිවල පරාමිතීන් පිළිබඳ තොරතුරු සංකේතනය කිරීමට සැලසුම් කර ඇති ECH (Encrypted Client Hello) යාන්ත්රණය සඳහා Firefox හි ස්ථාවර ශාඛාවේ පරිශීලකයින් සඳහා සහය ඇතුළත් කරන බව නිවේදනය කර ඇත. , ඉල්ලූ වසම් නාමය වැනි. ECH සමඟ වැඩ කිරීම සඳහා කේතය මුලින් Firefox 85 නිකුතුවට එකතු කරන ලද නමුත් පෙරනිමියෙන් අක්රිය කර ඇත. ක්රෝම් 115 නිකුත් කිරීමත් සමඟ ක්රෝම් ක්රමයෙන් ECH සහාය ඇතුළත් කිරීමට පටන් ගත්තේය.
සම්බන්ධ වීමට අමතරව සේවාදායකය ඉල්ලූ වසම් තොරතුරු DNS හරහා කාන්දු වේ. සම්පූර්ණ ආරක්ෂාව සඳහා, ECH ට අමතරව, ඔබ HTTPS හරහා DNS හෝ DNS ගමනාගමනය සංකේතනය කිරීමට TLS හරහා DNS භාවිතා කළ යුතුය. සැකසුම් තුළ HTTPS හරහා DNS සක්රීය නොකර Firefox ECH භාවිතා නොකරනු ඇත. ඔබට මෙම පිටුවේ ඔබගේ බ්රව්සරයේ ECH සහාය පරීක්ෂා කළ හැකිය.
ෆයර්ෆොක්ස් හි පෙරනිමියෙන් ECH සහාය සක්රීය කළ එක් සාධකයක් වූයේ දින කිහිපයකට පෙර Cloudflare විසින් එහි අන්තර්ගත බෙදාහැරීමේ ජාලයට ECH සහාය ඇතුළත් කිරීමයි. ප්රායෝගික පැත්තෙන්, ECH භාවිතා කරන විට ඉල්ලා සිටින සත්කාරක දත්ත විශ්ලේෂණයෙන් සැඟවී ඇති බැවින්, Cloudflare CDN භාවිතයෙන් අනවශ්ය අඩවි පෙරීම සහ අවහිර කිරීම සඳහා දැන් සම්පූර්ණ Cloudflare ජාලය අවහිර කිරීම, ECH වෙතින් වන සියලුම ඉල්ලීම් අවහිර කිරීම හෝ ව්යාජ මූල සහතික භාවිතයෙන් HTTPS බාධා කිරීම් සංවිධානය කිරීම අවශ්ය වේ. පරිශීලක පද්ධතිය මත.
මුලදී, HTTPS අඩවි කිහිපයක එක් IP ලිපිනයක වැඩ සංවිධානය කිරීම සඳහා, TLS දිගුව SNI භාවිතා කරන ලදී, සංකේතාත්මක සන්නිවේදන නාලිකාවක් පිහිටුවීමට පෙර සම්ප්රේෂණය කරන ලද ClientHello පණිවිඩයේ ඉල්ලුම් කරන ලද ධාරකයාගේ නම සඳහන් කර ඇත. මෙම විශේෂාංගය මඟින් සම්බන්ධතා සැකසීමේ මුල් අවධියේදී අතථ්ය ධාරක හරහා ඉල්ලීම් බෙදා හැරීමට හැකි විය, නමුත් ISP පැත්තෙන් HTTPS ගමනාගමනය තෝරාගෙන පෙරීමට සහ පරිශීලකයා විවෘත කරන්නේ කුමන අඩවිද යන්න විශ්ලේෂණය කිරීමට හැකි විය, එය භාවිතා කිරීමේදී සම්පූර්ණ රහස්යභාවය ලබා ගැනීමට ඉඩ නොදේ. HTTPS.
මෙම ගැටලුව විසඳීමට සහ ඉල්ලූ වෙබ් අඩවිය පිළිබඳ තොරතුරු කාන්දු වීම වැළැක්වීම සඳහා, සත්කාරක නාමය සමඟ දත්ත සංකේතනය ක්රියාත්මක කරන ESNI දිගුවක් පසුව යෝජනා කරන ලදී. ESNI ක්රියාත්මක කිරීමේදී, යෝජිත යාන්ත්රණය මඟින් ධාරක දත්ත කාන්දු වීමේ සියලු මූලාශ්ර ආවරණය නොකරන බවත් HTTPS සැසිවල සම්පූර්ණ රහස්යභාවය සහතික කිරීමට එහි භාවිතය ප්රමාණවත් නොවන බවත් අනාවරණය විය. විශේෂයෙන්, කලින් ස්ථාපිත සැසියක් නැවත ආරම්භ කරන විට, PSK (පෙර-බෙදාගත් යතුර) TLS දිගුවේ පරාමිතීන් අතර පැහැදිලි පාඨයේ වසම් නාමය දිගටම සඳහන් විය. මීට අමතරව, ESNI ක්රියාවට නැංවීමේ ප්රයත්නයන් මගින් ESNI පුළුල් ලෙස භාවිතා කිරීම වලක්වා ඇති අනුකූලතා සහ පරිමාණ ගැටළු හඳුනාගෙන ඇත.
ESNI හි හඳුනාගත් අඩුපාඩු සැලකිල්ලට ගනිමින්, ඕනෑම TLS දිගුවක පරාමිතීන් සංකේතනය කිරීමට ඉඩ සලසන නව විශ්වීය ECH යාන්ත්රණයක් සංවර්ධනය කරන ලදී. තාක්ෂණික වශයෙන්, ECH සහ ESNI අතර ඇති ප්රධාන වෙනස නම් තනි ක්ෂේත්ර වෙනුවට සම්පූර්ණ ClientHello පණිවිඩය එකවර සංකේතනය කර තිබීමයි. ECH ට ClientHello වෙනම පණිවිඩ දෙකකට බෙදීම ඇතුළත් වේ - සංකේතනය කරන ලද ClientHelloInner පණිවිඩය (SNI Inner) සහ සංකේතනය නොකළ යටින් පවතින ClientHelloOuter පණිවිඩය (SNI Outer). සංකේතනය නොකළ SNI Outer එකක් TLS අනුවාදය සහ භාවිතා කරන ලද කේතාංක ලැයිස්තුවක් මෙන්ම ඉල්ලුම් කරන ලද වසමේ සැබෑ නම සමඟ අතිච්ඡාදනය නොවන පොදු වසම් නාමයක් වැනි රහස්යතා නොවන දත්ත දරයි. උදාහරණයක් ලෙස, සියලුම Cloudflare සේවාලාභීන් සඳහා, සංකේතනය නොකළ SNI Outer පොදු සත්කාරක "Cloudflare-ech.com" සඳහන් කරයි, නමුත් ඉල්ලූ ධාරකයේ සැබෑ නම සංකේතනය කළ SNI Inner තුළ සම්ප්රේෂණය වන අතර විශ්ලේෂණය සඳහා ලබා ගත නොහැක.
ECH ද වෙනස් සංකේතාංකන යතුරු බෙදා හැරීමේ ක්රමයක් භාවිතා කරයි: පොදු යතුරු තොරතුරු TXT වාර්තා වලට වඩා HTTPSSVC DNS වාර්තා තුළ සම්ප්රේෂණය වේ. යතුර ලබා ගැනීමට සහ සංකේතනය කිරීමට HPKE (Hybrid Public Key Encryption) යාන්ත්රණය මත පදනම් වූ සත්යාපිත අන්තයේ සිට අගට සංකේතනය භාවිතා කරයි. ECH සේවාදායකයෙන් ආරක්ෂිත යතුරු නැවත සම්ප්රේෂණයට ද සහාය වන අතර, එය යතුරු භ්රමණය වන අවස්ථාවක භාවිතා කළ හැකිය. සේවාදායකය සහ DNS හැඹිලියෙන් යල් පැන ගිය යතුරු ලබා ගැනීමේ ගැටළු විසඳීමට.
මූලාශ්රය: opennet.ru
