Mozilla oznámila zahrnutie podpory pre používateľov stabilnej vetvy Firefoxu pre mechanizmus ECH (Encrypted Client Hello), ktorý pokračuje vo vývoji technológie ESNI (Encrypted Server Name Indication) a je určený na šifrovanie informácií o parametroch relácií TLS. , ako je požadovaný názov domény. Kód pre prácu s ECH bol pôvodne pridaný do vydania Firefoxu 85, ale bol predvolene zakázaný. Chrome postupne začal zahŕňať podporu ECH počnúc vydaním Chrome 115.
Keďže okrem prepojenia s server Požadované informácie o doméne unikajú cez DNS. Pre úplnú ochranu musíte okrem ECH použiť aj DNS cez HTTPS alebo DNS cez TLS na šifrovanie DNS prevádzky. Firefox nebude používať ECH bez povolenia DNS cez HTTPS v nastaveniach. Podporu ECH vo vašom prehliadači si môžete overiť na tejto stránke.
Jedným z faktorov, ktoré umožnili štandardnú podporu ECH vo Firefoxe, bolo zahrnutie podpory ECH zo strany Cloudflare do svojej siete na doručovanie obsahu pred niekoľkými dňami. Z praktického hľadiska, keďže údaje o požadovaných hostiteľoch pri používaní ECH sú skryté pred analýzou, filtrovanie a blokovanie nechcených stránok pomocou Cloudflare CDN bude teraz vyžadovať blokovanie celej siete Cloudflare, blokovanie všetkých požiadaviek z ECH alebo organizovanie zachytenia HTTPS pomocou falošných koreňových certifikátov. na používateľskom systéme.
Spočiatku sa na organizovanie práce na jednej IP adrese viacerých HTTPS stránok používalo rozšírenie TLS SNI, v ktorom bolo meno požadovaného hostiteľa uvedené v správe ClientHello odoslanej pred vytvorením šifrovaného komunikačného kanála. Táto funkcia umožnila distribuovať požiadavky medzi virtuálnymi hostiteľmi v počiatočnom štádiu spracovania pripojenia, ale tiež umožnila na strane ISP selektívne filtrovať prenos HTTPS a analyzovať, ktoré stránky používateľ otvára, čo neumožňovalo dosiahnuť úplnú dôvernosť pri používaní. HTTPS.
Na vyriešenie tohto problému a zabránenie úniku informácií o požadovanej lokalite bolo neskôr navrhnuté rozšírenie ESNI, ktoré implementuje šifrovanie údajov s názvom hostiteľa. Počas implementácie ESNI sa ukázalo, že navrhovaný mechanizmus nepokrýva všetky možné zdroje úniku dát hostiteľa a jeho použitie nestačí na zabezpečenie úplnej dôvernosti relácií HTTPS. Najmä pri obnovení predtým nadviazanej relácie sa názov domény vo forme čistého textu naďalej uvádzal medzi parametrami rozšírenia TLS PSK (Pre-Shared Key). Okrem toho snahy o implementáciu ESNI identifikovali problémy s kompatibilitou a škálovaním, ktoré bránili širokému prijatiu ESNI.
Berúc do úvahy zistené nedostatky ESNI, bol vyvinutý nový univerzálny mechanizmus ECH, ktorý umožňuje šifrovanie parametrov akýchkoľvek rozšírení TLS. Technicky je hlavný rozdiel medzi ECH a ESNI v tom, že namiesto jednotlivých polí je celá správa ClientHello šifrovaná naraz. ECH zahŕňa rozdelenie ClientHello na dve samostatné správy – zašifrovanú správu ClientHelloInner (SNI Inner) a nešifrovanú základnú správu ClientHelloOuter (SNI Outer). Nezašifrovaný SNI Outer nesie dáta nesúvisiace s ochranou súkromia, ako napríklad verziu TLS a zoznam použitých šifier, ako aj spoločný názov domény, ktorý sa neprekrýva so skutočným názvom požadovanej domény. Napríklad pre všetkých klientov Cloudflare nešifrovaný SNI Outer špecifikuje spoločného hostiteľa „cloudflare-ech.com“, ale skutočný názov požadovaného hostiteľa sa prenáša v zašifrovanom SNI Inner a nie je k dispozícii na analýzu.
ECH tiež používa odlišnú schému distribúcie šifrovacích kľúčov: informácie o verejnom kľúči sa prenášajú v záznamoch DNS HTTPSSVC, a nie v záznamoch TXT. Na získanie a šifrovanie kľúča sa používa overené end-to-end šifrovanie založené na mechanizme HPKE (Hybrid Public Key Encryption). ECH tiež podporuje bezpečný opätovný prenos kľúča zo servera, ktorý je možné použiť v prípade rotácie kľúča. server a na vyriešenie problémov s načítaním zastaraných kľúčov z vyrovnávacej pamäte DNS.
Zdroj: opennet.ru
