Mozilla, ESNI (Şifreli Sunucu Adı Göstergesi) teknolojisinin geliştirilmesini sürdüren ve TLS oturumlarının parametreleri hakkındaki bilgileri şifrelemek için tasarlanan ECH (Şifreli İstemci Merhaba) mekanizması için Firefox'un kararlı şubesi kullanıcılarına yönelik desteğin dahil edildiğini duyurdu. , örneğin istenen alan adı. ECH ile çalışmaya yönelik kod ilk olarak Firefox 85 sürümüne eklenmiştir ancak varsayılan olarak devre dışı bırakılmıştır. Chrome, Chrome 115'in piyasaya sürülmesinden itibaren yavaş yavaş ECH desteğini dahil etmeye başladı.
Çünkü bağlantı kurmanın yanı sıra sunucu İstenen alan adı bilgileri DNS aracılığıyla sızdırılıyor. Tam koruma için, ECH'ye ek olarak, DNS trafiğini şifrelemek için DNS over HTTPS veya DNS over TLS kullanmalısınız. Firefox, ayarlarda DNS over HTTPS'yi etkinleştirmeden ECH'yi kullanmayacaktır. Tarayıcınızda ECH desteğini bu sayfadan kontrol edebilirsiniz.
Firefox'ta ECH desteğini varsayılan olarak etkinleştiren faktörlerden biri de Cloudflare'in birkaç gün önce içerik dağıtım ağına ECH desteğini dahil etmesiydi. Pratik açıdan bakıldığında, ECH kullanılırken istenen ana bilgisayarlar hakkındaki veriler analizden gizlendiğinden, Cloudflare CDN kullanarak istenmeyen sitelerin filtrelenmesi ve engellenmesi artık tüm Cloudflare ağının engellenmesini, ECH'den gelen tüm isteklerin engellenmesini veya sahte kök sertifikalar kullanılarak HTTPS müdahalesinin organize edilmesini gerektirecektir. kullanıcı sisteminde.
Başlangıçta, birkaç HTTPS sitesinin bir IP adresi üzerinde çalışmayı düzenlemek için, şifreli bir iletişim kanalı kurulmadan önce iletilen ClientHello mesajında istenen ana bilgisayarın adının belirtildiği TLS uzantısı SNI kullanıldı. Bu özellik, bağlantı işleminin erken bir aşamasında isteklerin sanal ana bilgisayarlar arasında dağıtılmasını mümkün kıldı, ancak aynı zamanda ISP tarafında HTTPS trafiğini seçici olarak filtrelemeyi ve kullanıcının hangi siteleri açtığını analiz etmeyi mümkün kıldı; bu, kullanırken tam bir gizlilik elde edilmesine izin vermedi. HTTPS.
Bu sorunu çözmek ve istenen siteyle ilgili bilgilerin sızmasını önlemek için daha sonra ana bilgisayar adıyla veri şifreleme uygulayan bir ESNI uzantısı önerildi. ESNI'nin uygulanması sırasında, önerilen mekanizmanın ana bilgisayar veri sızıntısının tüm olası kaynaklarını kapsamadığı ve kullanımının HTTPS oturumlarının tam gizliliğini sağlamak için yeterli olmadığı ortaya çıktı. Özellikle önceden kurulmuş bir oturumun devam ettirilmesinde, alan adı açık metin olarak PSK (Ön Paylaşımlı Anahtar) TLS uzantısının parametreleri arasında belirtilmeye devam edildi. Ayrıca, ESNI'yi uygulamaya yönelik çabalar, ESNI'nin yaygın şekilde benimsenmesini engelleyen uyumluluk ve ölçeklendirme sorunlarını tespit etmiştir.
ESNI'nin belirlenen eksiklikleri dikkate alınarak, herhangi bir TLS uzantısının parametrelerinin şifrelenmesine olanak tanıyan yeni bir evrensel ECH mekanizması geliştirilmiştir. Teknik olarak ECH ile ESNI arasındaki temel fark, bireysel alanlar yerine ClientHello mesajının tamamının aynı anda şifrelenmesidir. ECH, ClientHello'yu iki ayrı mesaja bölmeyi içerir: şifrelenmiş ClientHelloInner mesajı (SNI Inner) ve şifrelenmemiş temel ClientHelloOuter mesajı (SNI Outer). Şifrelenmemiş bir SNI Outer, TLS sürümü ve kullanılan şifrelerin bir listesinin yanı sıra talep edilen alanın gerçek adıyla örtüşmeyen ortak bir alan adı gibi gizlilik gerektirmeyen verileri taşır. Örneğin, tüm Cloudflare istemcileri için şifrelenmemiş SNI Outer, "cloudflare-ech.com" ortak ana bilgisayarını belirtir, ancak istenen ana bilgisayarın gerçek adı şifrelenmiş SNI Inner'da iletilir ve analiz için kullanılamaz.
ECH ayrıca farklı bir şifreleme anahtarı dağıtım şeması kullanır: açık anahtar bilgileri TXT kayıtları yerine HTTPSSVC DNS kayıtlarında iletilir. Anahtarı elde etmek ve şifrelemek için HPKE (Hibrit Açık Anahtar Şifreleme) mekanizmasına dayalı kimlik doğrulamalı uçtan uca şifreleme kullanılır. ECH ayrıca, anahtar rotasyonu durumunda kullanılabilecek sunucudan güvenli anahtar yeniden iletimini de destekler. sunucu ve DNS önbelleğinden güncel olmayan anahtarların alınmasıyla ilgili sorunları çözmek için.
Kaynak: opennet.ru
