Mozilla ESNI (Encrypted Server Name Indication) texnologiyasini ishlab chiqishni davom ettiruvchi va TLS seanslari parametrlari haqidagi ma’lumotlarni shifrlash uchun mo‘ljallangan ECH (Encrypted Client Hello) mexanizmi uchun Firefox’ning barqaror filiali foydalanuvchilari uchun qo‘llab-quvvatlash kiritilganligini e’lon qildi. , masalan, so'ralgan domen nomi. ECH bilan ishlash uchun kod dastlab Firefox 85 versiyasiga qo'shilgan, ammo sukut bo'yicha o'chirib qo'yilgan. Chrome asta-sekin Chrome 115 versiyasidan boshlab ECH qo'llab-quvvatlashini o'z ichiga boshladi.
Bog'lanishdan tashqari, server So'ralgan domen ma'lumotlari DNS orqali sizib chiqdi. To'liq himoya qilish uchun, ECH dan tashqari, DNS trafikini shifrlash uchun HTTPS orqali DNS yoki TLS orqali DNS dan foydalanishingiz kerak. Firefox sozlamalarda HTTPS orqali DNS ni yoqmasdan ECH dan foydalanmaydi. Ushbu sahifada brauzeringizda ECH qo'llab-quvvatlashini tekshirishingiz mumkin.
Firefox-da sukut bo'yicha ECH-ni qo'llab-quvvatlashni faollashtirgan omillardan biri bir necha kun oldin Cloudflare-ning kontentni etkazib berish tarmog'iga ECH-ni qo'llab-quvvatlashni kiritishi edi. Amaliy tomondan, ECH-dan foydalanganda so'ralgan xostlar haqidagi ma'lumotlar tahlildan yashirilganligi sababli, Cloudflare CDN-dan foydalanib kiruvchi saytlarni filtrlash va blokirovka qilish endi butun Cloudflare tarmog'ini bloklashni, ECH-dan barcha so'rovlarni bloklashni yoki soxta ildiz sertifikatlari yordamida HTTPSni ushlab turishni tashkil qilishni talab qiladi. foydalanuvchi tizimida.
Dastlab, bir nechta HTTPS saytlarining bitta IP manzilida ishni tashkil qilish uchun TLS kengaytmasi SNI ishlatilgan, unda shifrlangan aloqa kanalini o'rnatishdan oldin yuborilgan ClientHello xabarida so'ralgan xost nomi ko'rsatilgan. Bu xususiyat ulanishni qayta ishlashning dastlabki bosqichida so'rovlarni virtual xostlar bo'ylab tarqatish imkonini berdi, shuningdek, ISP tomonida HTTPS trafigini tanlab filtrlash va foydalanuvchi qaysi saytlarni ochishini tahlil qilish imkonini berdi, bu esa foydalanishda to'liq maxfiylikka erishishga imkon bermadi. HTTPS.
Ushbu muammoni hal qilish va so'ralgan sayt haqidagi ma'lumotlarning sizib chiqishini oldini olish uchun keyinchalik xost nomi bilan ma'lumotlarni shifrlashni amalga oshiradigan ESNI kengaytmasi taklif qilindi. ESNI-ni amalga oshirish jarayonida taklif etilayotgan mexanizm xost ma'lumotlari sizib chiqishining barcha mumkin bo'lgan manbalarini qamrab olmasligi va HTTPS seanslarining to'liq maxfiyligini ta'minlash uchun undan foydalanish etarli emasligi aniqlandi. Xususan, avval oʻrnatilgan seansni davom ettirishda, aniq matndagi domen nomi PSK (Pre-Shared Key) TLS kengaytmasi parametrlari orasida koʻrsatilishi davom etdi. Bundan tashqari, ESNI-ni joriy qilish bo'yicha harakatlar ESNI-ni keng qo'llashga to'sqinlik qilgan muvofiqlik va masshtablash muammolarini aniqladi.
ESNI ning aniqlangan kamchiliklarini hisobga olgan holda, har qanday TLS kengaytmalari parametrlarini shifrlash imkonini beruvchi yangi universal ECH mexanizmi ishlab chiqildi. Texnik jihatdan, ECH va ESNI o'rtasidagi asosiy farq shundaki, alohida maydonlar o'rniga butun ClientHello xabari bir vaqtning o'zida shifrlanadi. ECH ClientHello-ni ikkita alohida xabarga bo'lishni o'z ichiga oladi - shifrlangan ClientHelloInner xabari (SNI Inner) va shifrlanmagan asosiy ClientHelloOuter xabari (SNI Outer). Shifrlanmagan SNI Outer TLS versiyasi va foydalanilgan shifrlar ro'yxati kabi maxfiy bo'lmagan ma'lumotlarni, shuningdek, so'ralgan domenning haqiqiy nomi bilan mos kelmaydigan umumiy domen nomini o'z ichiga oladi. Masalan, barcha Cloudflare mijozlari uchun shifrlanmagan SNI Outer umumiy xost "cloudflare-ech.com" ni belgilaydi, ammo so'ralgan xostning haqiqiy nomi shifrlangan SNI Inner-da uzatiladi va tahlil qilish uchun mavjud emas.
ECH shuningdek, boshqa shifrlash kalitlarini tarqatish sxemasidan foydalanadi: ochiq kalit ma'lumotlari TXT yozuvlari o'rniga HTTPSSVC DNS yozuvlarida uzatiladi. Kalitni olish va shifrlash uchun HPKE (Gibrid ochiq kalit shifrlash) mexanizmiga asoslangan autentifikatsiyalangan boshidan oxirigacha shifrlash qo'llaniladi. ECH shuningdek, kalit aylanish holatida ishlatilishi mumkin bo'lgan serverdan xavfsiz kalitni qayta uzatishni qo'llab-quvvatlaydi. server va DNS keshidan eskirgan kalitlarni olish bilan bog'liq muammolarni hal qilish uchun.
Manba: opennet.ru
