Mozilla дар бораи ворид намудани дастгирии корбарони филиали устувори Firefox барои механизми ECH (Encrypted Client Hello), ки рушди технологияи ESNI (Encrypted Name Indication Server) идома медиҳад ва барои рамзгузории маълумот дар бораи параметрҳои сессияҳои TLS пешбинӣ шудааст, эълон кард. , ба монанди номи домени дархостшуда. Рамзи кор бо ECH дар аввал ба версияи Firefox 85 илова карда шуда буд, аммо бо нобаёнӣ хомӯш карда шуд. Chrome тадриҷан ба дастгирии ECH шурӯъ аз нашри Chrome 115 оғоз кард.
Азбаски илова бар пайвастшавӣ бо сервер Маълумоти дархостшудаи домен тавассути DNS фош шудааст. Барои ҳифзи пурра, илова бар ECH, шумо бояд DNS over HTTPS ё DNS over TLS-ро барои рамзгузории трафики DNS истифода баред. Firefox ECH-ро бе фаъол кардани DNS over HTTPS дар танзимот истифода намебарад. Шумо метавонед дастгирии ECH-ро дар браузери худ дар ин саҳифа санҷед.
Яке аз омилҳое, ки дастгирии ECH-ро ба таври нобаёнӣ дар Firefox фаъол кардааст, чанд рӯз пеш аз Cloudflare дастгирии ECH ба шабакаи интиқоли мундариҷаи худ буд. Аз ҷиҳати амалӣ, азбаски маълумот дар бораи ҳостҳои дархостшуда ҳангоми истифодаи ECH аз таҳлил пинҳон аст, филтр ва бастани сайтҳои номатлуб бо истифода аз Cloudflare CDN акнун бастани тамоми шабакаи Cloudflare, бастани ҳама дархостҳо аз ECH ё ташкили боздошти HTTPS бо истифода аз сертификатҳои решаи қалбакиро талаб мекунад. дар системаи корбар.
Дар аввал, барои ташкили кор дар як суроғаи IP-и якчанд сайтҳои HTTPS, васеъшавии TLS SNI истифода мешуд, ки дар он номи ҳости дархостшуда дар паёми ClientHello, ки пеш аз таъсиси канали иртиботии рамзгузоришуда интиқол дода шудааст, нишон дода шудааст. Ин хусусият имкон дод, ки дархостҳо дар байни ҳостҳои виртуалӣ дар марҳилаи аввали коркарди пайвастшавӣ паҳн карда шаванд, аммо инчунин дар ҷониби ISP имкон дод, ки трафики HTTPS-ро интихобан филтр кунад ва кадом сайтҳоро корбар мекушояд, ки ин имкон намедиҳад, ки ҳангоми истифода махфияти пурра ба даст оварда шавад. HTTPS.
Барои ҳалли ин мушкилот ва пешгирии ихроҷи маълумот дар бораи сайти дархостшуда, баъдтар васеъшавии ESNI пешниҳод карда шуд, ки рамзгузории маълумотро бо номи мизбон амалӣ мекунад. Ҳангоми татбиқи ESNI маълум шуд, ки механизми пешниҳодшуда тамоми манбаъҳои эҳтимолии ихроҷи маълумотҳои мизбонро дар бар намегирад ва истифодаи он барои таъмини махфияти пурраи сессияҳои HTTPS кофӣ нест. Аз ҷумла, ҳангоми идомаи ҷаласаи қаблан муқарраршуда номи домен дар матни равшан дар байни параметрҳои тамдиди PSK (Pre-Shared Key) TLS нишон дода мешуд. Илова бар ин, кӯшишҳо барои татбиқи ESNI масъалаҳои мутобиқат ва миқёсро муайян карданд, ки ба қабули густурдаи ESNI монеъ шуданд.
Бо дарназардошти камбудиҳои ошкоршудаи ESNI, механизми нави универсалии ECH таҳия карда шуд, ки имкон медиҳад рамзгузории параметрҳои ҳама гуна васеъшавии TLS. Аз ҷиҳати техникӣ, фарқи асосии байни ECH ва ESNI дар он аст, ки ба ҷои майдонҳои алоҳида, тамоми паёми ClientHello якбора рамзгузорӣ карда мешавад. ECH тақсим кардани ClientHello-ро ба ду паёми алоҳида дар бар мегирад - паёми рамзгузоришудаи ClientHelloInner (SNI Inner) ва паёми асосии ClientHelloOuter (SNI Outer). SNI Outer-и рамзнашуда маълумоти ғайримахфиятро, аз қабили версияи TLS ва рӯйхати рамзҳои истифодашуда, инчунин номи домени умумиеро, ки бо номи воқеии домени дархостшуда мувофиқат намекунад, мебарад. Масалан, барои ҳамаи муштариёни Cloudflare, SNI Outer-и рамзнашуда мизбони умумии "cloudflare-ech.com" -ро муайян мекунад, аммо номи воқеии хости дархостшуда дар SNI Inner рамзгузоришуда интиқол дода мешавад ва барои таҳлил дастрас нест.
ECH инчунин аз схемаи дигари тақсимоти калидҳои рамзгузорӣ истифода мебарад: маълумоти калиди оммавӣ ба ҷои сабтҳои TXT дар сабтҳои DNS HTTPSSVC интиқол дода мешавад. Барои гирифтан ва рамзгузории калид, рамзгузории тасдиқшудаи аз аввал то охир, ки бар асоси механизми HPKE (Hybrid Public Key Encryption) асос ёфтааст, истифода мешавад. ECH инчунин интиқоли амни калидро аз сервер дастгирӣ мекунад, ки онро дар сурати гардиши калид истифода бурдан мумкин аст. сервер ва ҳалли мушкилот бо гирифтани калидҳои кӯҳнашуда аз кэши DNS.
Манбаъ: opennet.ru
