Mozilla waxay ku dhawaaqday ku daridda taageerada isticmaaleyaasha laanta xasilloon ee Firefox ee habka ECH (Client Hello), kaas oo sii wada horumarinta tignoolajiyada ESNI (Incrypted Name Server Indication) waxaana loogu talagalay in lagu sireeyo macluumaadka ku saabsan cabbirrada fadhiyada TLS , sida magaca domainka la codsaday. Koodhka la shaqaynta ECH ayaa markii hore lagu daray Firefox 85 siidaynta, laakiin waa la naafo. Chrome wuxuu si tartiib tartiib ah u bilaabay inuu ku daro taageerada ECH laga bilaabo sii deynta Chrome 115.
Tan iyo marka lagu daro isku xirka server Macluumaadka domain-ka ee la codsaday ayaa lagu daadiyaa DNS. Si aad u hesho ilaalin buuxda, marka lagu daro ECH, waa inaad isticmaashaa DNS ka badan HTTPS ama DNS ka badan TLS si aad u qariso taraafikada DNS. Firefox ma isticmaali doonto ECH iyada oo aan awood u siinin DNS ka badan HTTPS goobaha. Waxaad ka hubin kartaa taageerada ECH biraawsarkaaga boggan.
Mid ka mid ah qodobbada suurtageliyay taageerada ECH sida caadiga ah ee Firefox waa ku darista Cloudflare ee taageerada ECH ee shabakadeeda gudbinta macluumaadka maalmo ka hor. Dhanka wax ku oolka ah, maadaama xogta ku saabsan martigeliyaha la codsaday marka la isticmaalayo ECH ay ka qarsoon tahay falanqaynta, shaandhaynta iyo xannibaadda goobaha aan loo baahnayn iyadoo la adeegsanayo Cloudflare CDN waxay hadda u baahan doontaa xannibaadda dhammaan shabakadda Cloudflare, xannibista dhammaan codsiyada ECH, ama abaabulka dhex galka HTTPS iyadoo la adeegsanayo shahaadooyin xidid been abuur ah. on nidaamka isticmaalaha.
Markii hore, si loo abaabulo shaqada hal ciwaanka IP ee dhowr goobood oo HTTPS ah, TLS kordhinta SNI ayaa la isticmaalay, kaas oo magaca martigeliyaha la codsaday lagu muujiyay fariinta ClientHello ee la gudbiyay ka hor inta aan la dhisin kanaal isgaarsiineed sir ah. Habkani waxa uu suurtogal ka dhigay in codsiyada loo qaybiyo martigaliyayaasha casriga ah marxaladii hore ee habaynta isku xidhka, laakiin waxa kale oo ay suurto galisay dhanka ISP in ay si xushmad leh u shaandheeyaan taraafikada HTTPS oo ay falanqeeyaan goobaha adeegsaduhu furayo, taas oo aan ogolayn in la gaadho sir dhamaystiran marka la isticmaalayo. HTTPS
Si loo xalliyo dhibaatadan loogana hortago daadinta macluumaadka ku saabsan goobta la codsaday, kordhinta ESNI ayaa markii dambe la soo jeediyay taas oo fulisa sirta xogta ee magaca martida loo yahay. Inta lagu jiro hirgelinta ESNI, waxaa la daaha ka qaaday in habka la soo jeediyay uusan daboolin dhammaan ilaha suurtagalka ah ee daadinta xogta martigeliyaha iyo isticmaalkeedu kuma filna si loo xaqiijiyo sirta buuxda ee fadhiyada HTTPS. Gaar ahaan, marka dib loo bilaabo fadhi hore loo aasaasay, magaca domainka ee qoraalka cad wuxuu sii waday in lagu qeexo xuduudaha PSK (Furaha la wadaago) TLS ee kordhinta. Intaa waxaa dheer, dadaallada lagu hirgelinayo ESNI ayaa lagu ogaaday is-waafajinta iyo arrimaha miisaanka oo ka hortagay in si ballaaran loo qaato ESNI.
Iyadoo la tixgelinayo cilladaha la aqoonsaday ee ESNI, hannaan cusub oo caalami ah oo ECH ah ayaa la sameeyay kaas oo u oggolaanaya siraynta cabbirrada kordhinta TLS kasta. Farsamo ahaan, farqiga ugu weyn ee u dhexeeya ECH iyo ESNI ayaa ah in halkii laga isticmaali lahaa goobo gaar ah, dhambaalka ClientHello oo dhan waa la siryay hal mar. ECH waxay ku lug leedahay kala qaybinta ClientHello laba farriimo oo kala duwan - fariinta qarsoon ee ClientHelloInner (SNI Inner) iyo fariinta hoose ee ClientHelloOuter (SNI Outer). SNI Outer-ka aan qarsoodiga ahayn waxa uu sitaa xog aan qarsoodi ahayn sida nooca TLS iyo liiska xarfaha la isticmaalay, iyo sidoo kale magac domain caadi ah oo aan ku dulmarin magaca dhabta ah ee bogga la codsaday. Tusaale ahaan, dhammaan macaamiisha Cloudflare, SNI Outer ee aan qarsoodi ahayn ayaa qeexaysa martigeliyaha caadiga ah "cloudflare-ech.com", laakiin magaca dhabta ah ee martigeliyaha la codsaday waxaa lagu kala qaadaa gudaha SNI ee sir ah oo aan diyaar u ahayn falanqaynta.
ECH waxay sidoo kale isticmaashaa nidaam qaybinta furaha sirta ah oo kala duwan: macluumaadka furaha dadweynaha waxaa lagu gudbiyaa diiwaannada DNS ee HTTPSVC halkii laga isticmaali lahaa diiwaannada TXT. Sirta dhammaadka-ilaa-dhamaadka ee la xaqiijiyay oo ku salaysan habka Sirta Furaha Dadweynaha ee HPKE (Hybrid Public Key Encryption) ayaa loo isticmaalaa in lagu helo oo lagu qariyo furaha. ECH waxay sidoo kale taageertaa dib-u-gudbinta furaha ee ammaan ah ee ka timaadda server-ka, taas oo loo isticmaali karo haddii ay dhacdo wareeg furaha. server iyo in la xalliyo arrimaha la xiriira soo celinta furayaasha duugoobay ee kaydka DNS-ka.
Source: opennet.ru
