Mozilla e phatlalalitse hore e thusa ts'ehetso ea mochini oa ECH (Encrypted Client Hello) bakeng sa basebelisi ba tsitsitseng ba Firefox. Ena ke ntšetso-pele ea theknoloji ea ESNI (Encrypted Server Name Indication) 'me e etselitsoe ho patala tlhahisoleseling mabapi le liparamente tsa nako ea TLS, joalo ka lebitso la domain le le kopiloeng. Qalong, khoutu ea ho sebetsa le ECH e ile ea eketsoa ha ho lokolloa Firefox 85, empa e ile ea holofatsoa ka ho sa feleng. Ho Chrome, tšehetso ea ECH e kenyellelitsoe butle-butle, ho qala ka ho lokolloa ha Chrome 115.
Kaha ho phaella ho hokahana le seva Tlhahisoleseding e kopilweng ya domain e dutla ka DNS. Bakeng sa tshireletso e felletseng, ho phaella ho ECH, o tlameha ho sebedisa DNS hodima HTTPS kapa DNS hodima TLS ho sireletsa sephethephethe sa DNS. Firefox e ke ke ya sebedisa ECH ntle le ho bulela DNS hodima HTTPS di-setting. O ka hlahloba tshehetso ya ECH ho sebatli sa hao leqepheng lena.
E 'ngoe ea lintlha tse entseng hore Firefox e nolofalletse tšehetso ea ECH ka ho sa feleng e ne e le Cloudflare e nolofaletsang ECH tšehetso ho marang-rang a eona a ho fana ka litaba matsatsing a seng makae a fetileng. Ka mokhoa o sebetsang, kaha lintlha tse mabapi le mabotho a kōptjoang li patiloe ho hlahlojoa ha u sebelisa ECH, ho sefa le ho thibela libaka tse sa batleheng ho sebelisa CDN ea Cloudflare hona joale ho tla hloka ho thibela marang-rang a Cloudflare, ho thibela likōpo tsohle ka ECH, kapa ho hlophisa ho thibela HTTPS ho sebelisa litifikeiti tsa motso oa bohata tsamaisong ea mosebedisi.
Qalong, katoloso ea SNI TLS e ne e sebelisetsoa ho hlophisa mosebetsi atereseng e le 'ngoe ea IP ea libaka tse' maloa tsa HTTPS, moo lebitso la moamoheli ea kopiloeng le neng le boletsoe ho molaetsa oa ClientHello o fetisitsoeng pele o theha mocha oa puisano o patiloeng. Karolo ena e entse hore ho khonehe ho aba likopo ho batho ba amohelang marang-rang qalong ea ts'ebetso ea khokahano, empa hape e lumelletse mofani oa Marang-rang ho khetha sephethephethe sa HTTPS le ho sekaseka hore na ke libaka life tseo mosebelisi a li bulang, tse neng li sa lumelle ho fihlela lekunutu le felletseng ha a sebelisa HTTPS.
Ho rarolla bothata bona le ho thibela ho tsoa ha tlhahisoleseling mabapi le sebaka se kopiloeng, katoloso ea ESNI e ile ea hlahisoa hamorao, ho kenya ts'ebetsong encryption ea data ka lebitso la moamoheli. Nakong ea ts'ebetsong ea ESNI, ho ile ha fumanoa hore mochine o reriloeng ha o koahele mehloli eohle e ka khonehang ea ho lutla ha data e amohelehang 'me tšebeliso ea eona ha ea lekana ho netefatsa hore ho na le lekunutu le feletseng la linako tsa HTTPS. Haholo-holo, ha u tsosolosa seboka se neng se thehiloe pele, lebitso la domain name ka mongolo o hlakileng le ile la tsoela pele ho boleloa har'a li-parameter tsa PSK (Pre-Shared Key) TLS extension. Ho phaella moo, boiteko ba ho kenya ts'ebetsong ESNI bo senotse litaba tsa ho lumellana le ho phahamisa tse thibelang ho ajoa ho pharaletseng ha ESNI.
Ha ho nahanoa ka mefokolo e khethiloeng ea ESNI, ho ile ha etsoa mochine o mocha oa bokahohleng oa ECH, o lumellang ho ngolisoa ha litekanyetso tsa lisebelisoa leha e le life tsa TLS. Ha e le hantle, phapang e kholo pakeng tsa ECH le ESNI ke hore ho e-na le masimo a motho ka mong, molaetsa oohle oa ClientHello o ngotsoe hang-hang. ECH e kenyelletsa ho arola ClientHello ka melaetsa e 'meli e arohaneng - molaetsa oa ClientHelloInner (SNI Inner) o patiloeng le molaetsa oa motheo o sa ngolisoang oa ClientHelloOuter (SNI Outer). SNI Outer e sa ngolisoang e fetisa lintlha tse sa tsotelleng, joalo ka mofuta oa TLS le lenane la li-ciphers tse sebelisitsoeng, hammoho le lebitso le tloaelehileng la domain name le sa fetelletseng lebitso la 'nete la sebaka se kopiloeng. Mohlala, bakeng sa bareki bohle ba Cloudflare, SNI Outer e sa ngolisoang e hlakisa moamoheli ea tloaelehileng "cloudflare-ech.com", mme lebitso la 'nete la moamoheli ea kopiloeng le fetisoa ho SNI Inner e kentsoeng mme ha e fumanehe bakeng sa tlhahlobo.
ECH e boetse e sebelisa mokhoa o fapaneng oa ho aba senotlolo sa ho sireletsa: tlhahisoleseling ea senotlolo sa sechaba e fetisetsoa lirekotong tsa DNS tsa HTTPSSVC ho fapana le lirekoto tsa TXT. Ho sireletsa senotlolo ho tloha qalong ho isa qetellong ho latela mokhoa oa HPKE (Hybrid Public Key Encryption) ho sebelisoa ho fumana le ho sireletsa senotlolo. ECH e boetse e tšehetsa phetisetso e sireletsehileng ea senotlolo ho tsoa ho seva, e ka sebelisoang haeba ho ka ba le potoloho ea senotlolo. seva le ho rarolla mathata ka ho fumana dinotlolo tse siilweng ke nako ho tswa ho cache ya DNS.
Source: opennet.ru
