ESNI (ఎన్క్రిప్టెడ్ సర్వర్ నేమ్ ఇండికేషన్) సాంకేతికత అభివృద్ధిని కొనసాగించే మరియు TLS సెషన్ల పారామితుల గురించి సమాచారాన్ని ఎన్క్రిప్ట్ చేయడానికి రూపొందించబడిన ECH (ఎన్క్రిప్టెడ్ క్లయింట్ హలో) మెకానిజం కోసం ఫైర్ఫాక్స్ యొక్క స్థిరమైన బ్రాంచ్ వినియోగదారులకు మద్దతును చేర్చినట్లు Mozilla ప్రకటించింది. , అభ్యర్థించిన డొమైన్ పేరు వంటివి. ECHతో పని చేసే కోడ్ వాస్తవానికి Firefox 85 విడుదలకు జోడించబడింది, కానీ డిఫాల్ట్గా నిలిపివేయబడింది. Chrome 115 విడుదలతో ప్రారంభమయ్యే ECH మద్దతును Chrome క్రమంగా చేర్చడం ప్రారంభించింది.
కనెక్ట్ అవ్వడంతో పాటు సర్వర్ అభ్యర్థించిన డొమైన్ సమాచారం DNS ద్వారా లీక్ అవుతుంది. పూర్తి రక్షణ కోసం, ECH తో పాటు, మీరు DNS ట్రాఫిక్ను ఎన్క్రిప్ట్ చేయడానికి HTTPS ద్వారా DNS లేదా TLS ద్వారా DNS ఉపయోగించాలి. సెట్టింగ్లలో HTTPS ద్వారా DNSను ప్రారంభించకుండా Firefox ECHను ఉపయోగించదు. మీరు ఈ పేజీలో మీ బ్రౌజర్లో ECH మద్దతును తనిఖీ చేయవచ్చు.
ఫైర్ఫాక్స్లో డిఫాల్ట్గా ECH మద్దతుని ఎనేబుల్ చేసిన కారకాల్లో ఒకటి క్లౌడ్ఫ్లేర్ కొన్ని రోజుల క్రితం దాని కంటెంట్ డెలివరీ నెట్వర్క్లో ECH మద్దతును చేర్చడం. ఆచరణాత్మకంగా, ECHని ఉపయోగిస్తున్నప్పుడు అభ్యర్థించిన హోస్ట్ల గురించిన డేటా విశ్లేషణ నుండి దాచబడినందున, క్లౌడ్ఫ్లేర్ CDNని ఉపయోగించి అవాంఛిత సైట్లను ఫిల్టర్ చేయడం మరియు బ్లాక్ చేయడం ఇప్పుడు మొత్తం Cloudflare నెట్వర్క్ను నిరోధించడం, ECH నుండి అన్ని అభ్యర్థనలను నిరోధించడం లేదా నకిలీ రూట్ సర్టిఫికేట్లను ఉపయోగించి HTTPS అంతరాయాన్ని నిర్వహించడం అవసరం. వినియోగదారు సిస్టమ్లో.
ప్రారంభంలో, అనేక HTTPS సైట్ల యొక్క ఒక IP చిరునామాపై పనిని నిర్వహించడానికి, TLS పొడిగింపు SNI ఉపయోగించబడింది, దీనిలో అభ్యర్థించిన హోస్ట్ పేరు ఎన్క్రిప్టెడ్ కమ్యూనికేషన్ ఛానెల్ని స్థాపించే ముందు ప్రసారం చేయబడిన ClientHello సందేశంలో సూచించబడుతుంది. ఈ ఫీచర్ కనెక్షన్ ప్రాసెసింగ్ యొక్క ప్రారంభ దశలో వర్చువల్ హోస్ట్ల అంతటా అభ్యర్థనలను పంపిణీ చేయడం సాధ్యపడింది, అయితే ISP వైపు HTTPS ట్రాఫిక్ని ఎంపిక చేసి ఫిల్టర్ చేయడం మరియు వినియోగదారు ఏ సైట్లను తెరుస్తుందో విశ్లేషించడం కూడా సాధ్యం చేసింది, ఇది ఉపయోగించినప్పుడు పూర్తి గోప్యతను సాధించడానికి అనుమతించదు. HTTPS.
ఈ సమస్యను పరిష్కరించడానికి మరియు అభ్యర్థించిన సైట్ గురించిన సమాచారం లీకేజీని నిరోధించడానికి, హోస్ట్ పేరుతో డేటా ఎన్క్రిప్షన్ని అమలు చేసే ESNI పొడిగింపు తర్వాత ప్రతిపాదించబడింది. ESNI అమలు సమయంలో, ప్రతిపాదిత మెకానిజం హోస్ట్ డేటా లీకేజీకి సంబంధించిన అన్ని మూలాలను కవర్ చేయదని మరియు HTTPS సెషన్ల పూర్తి గోప్యతను నిర్ధారించడానికి దాని ఉపయోగం సరిపోదని వెల్లడించింది. ప్రత్యేకించి, గతంలో ఏర్పాటు చేసిన సెషన్ను పునఃప్రారంభిస్తున్నప్పుడు, స్పష్టమైన టెక్స్ట్లోని డొమైన్ పేరు PSK (ప్రీ-షేర్డ్ కీ) TLS పొడిగింపు యొక్క పారామితులలో పేర్కొనబడుతూనే ఉంది. అదనంగా, ESNIని అమలు చేసే ప్రయత్నాలు అనుకూలత మరియు స్కేలింగ్ సమస్యలను గుర్తించాయి, ఇవి ESNIని విస్తృతంగా స్వీకరించడాన్ని నిరోధించాయి.
ESNI యొక్క గుర్తించబడిన లోపాలను పరిగణనలోకి తీసుకుని, ఏదైనా TLS పొడిగింపుల యొక్క పారామితులను గుప్తీకరించడానికి అనుమతించే కొత్త యూనివర్సల్ ECH మెకానిజం అభివృద్ధి చేయబడింది. సాంకేతికంగా, ECH మరియు ESNI మధ్య ప్రధాన వ్యత్యాసం ఏమిటంటే, వ్యక్తిగత ఫీల్డ్లకు బదులుగా, మొత్తం ClientHello సందేశం ఒకేసారి గుప్తీకరించబడుతుంది. ECH ClientHelloని రెండు వేర్వేరు సందేశాలుగా విభజిస్తుంది - ఎన్క్రిప్టెడ్ ClientHelloInner సందేశం (SNI ఇన్నర్) మరియు ఎన్క్రిప్ట్ చేయని అంతర్లీన ClientHelloOuter సందేశం (SNI ఔటర్). ఎన్క్రిప్ట్ చేయని SNI ఔటర్ TLS వెర్షన్ మరియు ఉపయోగించిన సాంకేతికలిపిల జాబితా, అలాగే అభ్యర్థించిన డొమైన్ యొక్క అసలు పేరుతో అతివ్యాప్తి చెందని సాధారణ డొమైన్ పేరు వంటి గోప్యత రహిత డేటాను కలిగి ఉంటుంది. ఉదాహరణకు, అన్ని Cloudflare క్లయింట్ల కోసం, ఎన్క్రిప్ట్ చేయని SNI ఔటర్ సాధారణ హోస్ట్ "cloudflare-ech.com"ని నిర్దేశిస్తుంది, అయితే అభ్యర్థించిన హోస్ట్ యొక్క అసలు పేరు ఎన్క్రిప్టెడ్ SNI ఇన్నర్లో ప్రసారం చేయబడుతుంది మరియు విశ్లేషణ కోసం అందుబాటులో లేదు.
ECH కూడా వేరే ఎన్క్రిప్షన్ కీ పంపిణీ పథకాన్ని ఉపయోగిస్తుంది: పబ్లిక్ కీ సమాచారం TXT రికార్డులలో కాకుండా HTTPSSVC DNS రికార్డులలో ప్రసారం చేయబడుతుంది. HPKE (హైబ్రిడ్ పబ్లిక్ కీ ఎన్క్రిప్షన్) మెకానిజం ఆధారంగా ప్రామాణీకరించబడిన ఎండ్-టు-ఎండ్ ఎన్క్రిప్షన్ కీని పొందడానికి మరియు ఎన్క్రిప్ట్ చేయడానికి ఉపయోగించబడుతుంది. ECH సర్వర్ నుండి సురక్షిత కీ పునఃప్రసారానికి కూడా మద్దతు ఇస్తుంది, దీనిని కీ రొటేషన్ సందర్భంలో ఉపయోగించవచ్చు. సర్వర్ మరియు DNS కాష్ నుండి పాత కీలను తిరిగి పొందడంలో సమస్యలను పరిష్కరించడానికి.
మూలం: opennet.ru
