Mozilla geus ngumumkeun citakan pangrojong pikeun pamaké cabang stabil tina Firefox pikeun mékanisme ECH (Encrypted Client Hello), nu nuluykeun ngembangkeun ESNI (Encrypted Server Name Indikasi) téhnologi sarta dirancang pikeun encrypt informasi ngeunaan parameter tina sesi TLS. , sapertos nami domain anu dipénta. Kode pikeun gawé bareng ECH asalna ditambahkeun kana release Firefox 85, tapi ditumpurkeun sacara standar. Chrome laun-laun mimiti ngalebetkeun dukungan ECH dimimitian ku sékrési Chrome 115.
Kusabab salian ti nyambungkeun sareng server Inpormasi domain anu dipénta bocor via DNS. Pikeun panyalindungan lengkep, salian ti ECH, anjeun kedah nganggo DNS over HTTPS atanapi DNS over TLS pikeun énkripsi lalu lintas DNS. Firefox moal nganggo ECH tanpa ngaktipkeun DNS over HTTPS dina setélan. Anjeun tiasa mariksa dukungan ECH dina panyungsi anjeun dina halaman ieu.
Salah sahiji faktor anu ngamungkinkeun pangrojong ECH sacara standar dina Firefox nyaéta kalebet Cloudflare ngeunaan dukungan ECH dina jaringan pangiriman eusina sababaraha dinten ka pengker. Dina sisi praktis, saprak data ngeunaan host anu dipénta nalika nganggo ECH disumputkeun tina analisa, nyaring sareng meungpeuk situs anu teu dihoyongkeun nganggo Cloudflare CDN ayeuna bakal meryogikeun blokir sadayana jaringan Cloudflare, ngahalangan sadaya pamundut ti ECH, atanapi ngatur interception HTTPS nganggo sertipikat akar palsu. on sistem pamaké.
Dina awalna, pikeun ngatur gawé dina hiji alamat IP tina sababaraha situs HTTPS, TLS extension SNI dipaké, nu nami host dipénta dituduhkeun dina pesen ClientHello dikirimkeun saméméh nyieun saluran komunikasi énkripsi. Fitur ieu ngamungkinkeun pikeun ngadistribusikaeun pamundut ka host virtual dina tahap awal pamrosésan sambungan, tapi ogé ngamungkinkeun di sisi ISP pikeun nyaring lalu lintas HTTPS sacara selektif sareng nganalisa situs mana anu dibuka ku pangguna, anu henteu ngamungkinkeun pikeun ngahontal karusiahan lengkep nalika nganggo. HTTPS.
Pikeun ngajawab masalah ieu sarta nyegah leakage inpormasi ngeunaan situs dipénta, hiji extension ESNI engké diusulkeun yén implements enkripsi data kalawan ngaran host. Salila palaksanaan ESNI, éta wangsit yén mékanisme diusulkeun teu nutupan sakabéh sumber mungkin tina leakage data host sarta pamakéan na teu cukup pikeun mastikeun karusiahan lengkep tina sesi HTTPS. Khususna, nalika neraskeun sési anu saacanna diadegkeun, nami domain dina téks anu jelas terus ditetepkeun diantara parameter ekstensi PSK (Pre-Shared Key) TLS. Sajaba ti éta, usaha pikeun nerapkeun ESNI geus ngaidentipikasi kasaluyuan jeung masalah skala nu nyegah nyoko nyebar ESNI.
Nganggap kakurangan ESNI anu dicirikeun, mékanisme ECH universal anyar dikembangkeun anu ngamungkinkeun énkripsi parameter tina ekstensi TLS. Sacara téknis, bédana utama antara ECH sareng ESNI nyaéta sanés widang individu, sadaya pesen ClientHello énkripsi sakaligus. ECH ngalibatkeun ngabagi ClientHello kana dua pesen anu misah - pesen ClientHelloInner énkripsi (SNI Inner) sareng pesen ClientHelloOuter anu henteu énkripsi (SNI Outer). SNI Outer anu henteu énkripsi mawa data non-privasi sapertos versi TLS sareng daptar cipher anu dianggo, ogé nami domain umum anu henteu tumpang tindih sareng nami saleresna tina domain anu dipénta. Contona, pikeun sakabéh klien Cloudflare, SNI Outer unencrypted nangtukeun host umum "cloudflare-ech.com", tapi ngaran sabenerna host dipénta dikirimkeun dina SNI Batin énkripsi sarta henteu sadia pikeun analisis.
ECH ogé nganggo skéma distribusi konci énkripsi anu béda: inpormasi konci umum dikirimkeun dina rékaman DNS HTTPSVC tinimbang rékaman TXT. Énkripsi ujung-ka-ujung anu diauténtikasi dumasar kana mékanisme HPKE (Hybrid Public Key Encryption) dianggo pikeun kéngingkeun sareng énkripsi konci. ECH ogé ngadukung transmisi ulang konci anu aman ti server, anu tiasa dianggo upami aya rotasi konci. palayan sareng pikeun ngarengsekeun masalah nalika ngarékam konci anu teu acan dianggo tina cache DNS.
sumber: opennet.ru
