Mozilla imetangaza kujumuishwa kwa usaidizi kwa watumiaji wa tawi thabiti la Firefox kwa utaratibu wa ECH (Encrypted Client Hello), ambayo inaendelea maendeleo ya teknolojia ya ESNI (Encrypted Server Name Indication) na imeundwa kusimba habari kuhusu vigezo vya vipindi vya TLS. , kama vile jina la kikoa lililoombwa. Nambari ya kufanya kazi na ECH iliongezwa awali kwa toleo la Firefox 85, lakini ilizimwa kwa chaguo-msingi. Chrome polepole ilianza kujumuisha usaidizi wa ECH kuanzia na toleo la Chrome 115.
Kwa kuwa pamoja na kuungana na seva Taarifa ya kikoa inayoombwa imevuja kupitia DNS. Kwa ulinzi kamili, pamoja na ECH, lazima utumie DNS kupitia HTTPS au DNS kupitia TLS ili kusimba trafiki ya DNS. Firefox haitatumia ECH bila kuwezesha DNS kupitia HTTPS katika mipangilio. Unaweza kuangalia usaidizi wa ECH katika kivinjari chako kwenye ukurasa huu.
Mojawapo ya sababu zilizowezesha usaidizi wa ECH kwa chaguo-msingi katika Firefox ni ujumuishaji wa Cloudflare wa usaidizi wa ECH katika mtandao wake wa utoaji wa maudhui siku chache zilizopita. Kwa upande wa vitendo, kwa kuwa data kuhusu wapangishi walioombwa wakati wa kutumia ECH imefichwa kutokana na uchanganuzi, kuchuja na kuzuia tovuti zisizohitajika kwa kutumia Cloudflare CDN sasa kutahitaji kuzuia mtandao mzima wa Cloudflare, kuzuia maombi yote kutoka kwa ECH, au kuandaa uingiliaji wa HTTPS kwa kutumia vyeti bandia vya mizizi. kwenye mfumo wa mtumiaji.
Hapo awali, ili kupanga kazi kwenye anwani moja ya IP ya tovuti kadhaa za HTTPS, SNI ya ugani ya TLS ilitumiwa, ambapo jina la mwenyeji aliyeombwa lilionyeshwa katika ujumbe wa ClientHello uliopitishwa kabla ya kuanzisha njia ya mawasiliano iliyosimbwa. Kipengele hiki kiliwezesha kusambaza maombi kwa wapangishi pepe katika hatua ya awali ya uchakataji wa muunganisho, lakini pia kilifanya iwezekane kwa upande wa ISP kuchuja trafiki ya HTTPS kwa kuchagua na kuchambua ni tovuti zipi mtumiaji hufungua, ambayo haikuruhusu kufikia usiri kamili wakati wa kutumia. HTTPS.
Ili kutatua tatizo hili na kuzuia uvujaji wa maelezo kuhusu tovuti iliyoombwa, kiendelezi cha ESNI kilipendekezwa baadaye ambacho kinatumia usimbaji fiche wa data kwa jina la seva pangishi. Wakati wa utekelezaji wa ESNI, ilibainika kuwa utaratibu uliopendekezwa haujumuishi vyanzo vyote vinavyowezekana vya uvujaji wa data ya seva pangishi na matumizi yake hayatoshi kuhakikisha usiri kamili wa vipindi vya HTTPS. Hasa, wakati wa kurejesha kikao kilichoanzishwa hapo awali, jina la kikoa katika maandishi wazi liliendelea kubainishwa kati ya vigezo vya ugani wa PSK (Ufunguo Ulioshirikiwa Awali) wa TLS. Kwa kuongeza, jitihada za kutekeleza ESNI zimebainisha masuala ya utangamano na kuongeza ambayo yamezuia kupitishwa kwa ESNI.
Kwa kuzingatia mapungufu yaliyotambuliwa ya ESNI, utaratibu mpya wa wote wa ECH uliundwa ambao unaruhusu usimbaji fiche wa vigezo vya viendelezi vyovyote vya TLS. Kitaalam, tofauti kuu kati ya ECH na ESNI ni kwamba badala ya sehemu za kibinafsi, ujumbe wote wa ClientHello umesimbwa kwa njia fiche mara moja. ECH inahusisha kugawanya ClientHello katika jumbe mbili tofauti - ujumbe uliosimbwa kwa njia fiche wa ClientHelloInner (SNI Inner) na ujumbe wa msingi ambao haujasimbwa wa ClientHelloOuter (SNI Outer). SNI Outer ambayo haijasimbwa hubeba data isiyo ya faragha kama vile toleo la TLS na orodha ya misimbo inayotumika, pamoja na jina la kikoa la kawaida ambalo haliingiliani na jina halisi la kikoa kilichoombwa. Kwa mfano, kwa wateja wote wa Cloudflare, SNI Outer ambayo haijasimbwa hubainisha seva pangishi ya kawaida "cloudflare-ech.com", lakini jina halisi la seva pangishi iliyoombwa hutumwa kwa njia fiche ya SNI Inner na haipatikani kwa uchambuzi.
ECH pia hutumia mpango tofauti wa usambazaji wa funguo za usimbaji fiche: taarifa muhimu za umma hutumwa katika rekodi za HTTPSSVC DNS badala ya rekodi za TXT. Usimbaji fiche uliothibitishwa kuanzia mwanzo hadi mwisho kulingana na utaratibu wa HPKE (Hybrid Public Key Encryption) hutumika kupata na kusimba ufunguo. ECH pia inasaidia utumaji fiche salama wa funguo kutoka kwa seva, ambao unaweza kutumika iwapo funguo zitazungushwa. seva na kutatua matatizo ya kurejesha funguo zilizopitwa na wakati kutoka kwenye akiba ya DNS.
Chanzo: opennet.ru
