Мозилла је најавила укључивање подршке за кориснике стабилне гране Фирефок-а за ЕЦХ (Енцриптед Цлиент Хелло) механизам, који наставља развој ЕСНИ (Енцриптед Сервер Наме Индицатион) технологије и дизајниран је да шифрује информације о параметрима ТЛС сесија , као што је тражено име домена. Код за рад са ЕЦХ првобитно је додат издању Фирефок 85, али је подразумевано онемогућен. Цхроме је постепено почео да укључује ЕЦХ подршку почевши од издања Цхроме-а 115.
Пошто поред повезивања са сервер Тражене информације о домену су процуреле путем DNS-а. За потпуну заштиту, поред ECH-а, морате користити DNS преко HTTPS-а или DNS преко TLS-а за шифровање DNS саобраћаја. Фајерфокс неће користити ECH без омогућавања DNS-а преко HTTPS-а у подешавањима. Можете проверити подршку за ECH у вашем прегледачу на овој страници.
Један од фактора који је подразумевано омогућио ЕЦХ подршку у Фирефоку је Цлоудфлареово укључивање ЕЦХ подршке у своју мрежу за испоруку садржаја пре неколико дана. Са практичне стране, пошто су подаци о траженим хостовима при коришћењу ЕЦХ скривени од анализе, филтрирање и блокирање нежељених сајтова помоћу Цлоудфларе ЦДН-а сада ће захтевати блокирање целе Цлоудфларе мреже, блокирање свих захтева од ЕЦХ-а или организовање ХТТПС пресретања помоћу лажних роот сертификата на корисничком систему.
У почетку, за организовање рада на једној ИП адреси неколико ХТТПС сајтова, коришћена је ТЛС екстензија СНИ, у којој је име траженог хоста назначено у ЦлиентХелло поруци која се преноси пре успостављања шифрованог комуникационог канала. Ова функција је омогућила да се захтеви дистрибуирају преко виртуелних хостова у раној фази обраде везе, али и омогућила на страни ИСП-а да селективно филтрира ХТТПС саобраћај и анализира које сајтове корисник отвара, што није омогућило постизање потпуне поверљивости приликом коришћења ХТТПС.
Да би се решио овај проблем и спречило цурење информација о траженом сајту, касније је предложено проширење ЕСНИ које имплементира шифровање података са именом хоста. Током имплементације ЕСНИ, откривено је да предложени механизам не покрива све могуће изворе цурења података о хосту и да његово коришћење није довољно да обезбеди потпуну поверљивост ХТТПС сесија. Конкретно, када се наставља претходно успостављена сесија, име домена у чистом тексту је наставило да буде наведено међу параметрима ТЛС екстензије ПСК (Пре-Схаред Кеи). Поред тога, напори да се имплементира ЕСНИ идентификовали су проблеме компатибилности и скалирања који су спречили широко усвајање ЕСНИ.
Узимајући у обзир идентификоване недостатке ЕСНИ, развијен је нови универзални ЕЦХ механизам који омогућава шифровање параметара било којих ТЛС екстензија. Технички, главна разлика између ЕЦХ и ЕСНИ је у томе што се уместо појединачних поља, цела ЦлиентХелло порука шифрује одједном. ЕЦХ подразумева цепање ЦлиентХелло у две одвојене поруке - шифровану ЦлиентХеллоИннер поруку (СНИ Иннер) и нешифровану основну ЦлиентХеллоОутер поруку (СНИ Оутер). Нешифровани СНИ Оутер носи податке који нису приватни, као што су ТЛС верзија и листа коришћених шифара, као и заједничко име домена које се не преклапа са стварним именом траженог домена. На пример, за све Цлоудфларе клијенте, нешифровани СНИ Оутер наводи заједнички хост „цлоудфларе-ецх.цом“, али се стварно име захтеваног хоста преноси у шифрованом СНИ Иннер-у и није доступно за анализу.
ECH такође користи другачију шему дистрибуције кључева за шифровање: информације о јавном кључу се преносе у HTTPSSVC DNS записима, а не у TXT записима. За добијање и шифровање кључа користи се аутентификовано енкрипционо шифровање од краја до краја засновано на HPKE (Hybrid Public Key Encryption) механизму. ECH такође подржава безбедно поновно слање кључа са сервера, што се може користити у случају ротације кључа. сервер и да се реше проблеми са преузимањем застарелих кључева из DNS кеша.
Извор: опеннет.ру
