Mozilla đã công bố hỗ trợ người dùng nhánh ổn định của Firefox cho cơ chế ECH (Xin chào khách hàng được mã hóa), tiếp tục phát triển công nghệ ESNI (Chỉ định tên máy chủ được mã hóa) và được thiết kế để mã hóa thông tin về các tham số của phiên TLS , chẳng hạn như tên miền được yêu cầu. Mã để làm việc với ECH ban đầu được thêm vào bản phát hành Firefox 85 nhưng bị tắt theo mặc định. Chrome dần dần bắt đầu hỗ trợ ECH kể từ khi phát hành Chrome 115.
Vì ngoài việc kết nối với người phục vụ Thông tin tên miền được yêu cầu bị rò rỉ qua DNS. Để được bảo vệ toàn diện, ngoài ECH, bạn phải sử dụng DNS qua HTTPS hoặc DNS qua TLS để mã hóa lưu lượng DNS. Firefox sẽ không sử dụng ECH nếu không bật DNS qua HTTPS trong cài đặt. Bạn có thể kiểm tra khả năng hỗ trợ ECH trong trình duyệt của mình trên trang này.
Một trong những yếu tố kích hoạt hỗ trợ ECH theo mặc định trong Firefox là việc Cloudflare đưa hỗ trợ ECH vào mạng phân phối nội dung của mình vài ngày trước. Về mặt thực tế, do dữ liệu về các máy chủ được yêu cầu khi sử dụng ECH bị ẩn khỏi quá trình phân tích nên việc lọc và chặn các trang web không mong muốn bằng Cloudflare CDN giờ đây sẽ yêu cầu chặn toàn bộ mạng Cloudflare, chặn tất cả các yêu cầu từ ECH hoặc tổ chức chặn HTTPS bằng chứng chỉ gốc giả. trên hệ thống người dùng.
Ban đầu, để tổ chức công việc trên một địa chỉ IP của một số trang web HTTPS, tiện ích mở rộng TLS SNI đã được sử dụng, trong đó tên của máy chủ được yêu cầu đã được chỉ định trong thông báo ClientHello được truyền trước khi thiết lập kênh liên lạc được mã hóa. Tính năng này giúp phân phối yêu cầu trên các máy chủ ảo ở giai đoạn đầu của quá trình xử lý kết nối, nhưng cũng giúp phía ISP có thể lọc có chọn lọc lưu lượng HTTPS và phân tích trang web nào người dùng mở, điều này không cho phép đạt được tính bảo mật hoàn toàn khi sử dụng HTTPS.
Để giải quyết vấn đề này và ngăn chặn rò rỉ thông tin về trang web được yêu cầu, một phần mở rộng ESNI sau đó đã được đề xuất để thực hiện mã hóa dữ liệu bằng tên máy chủ. Trong quá trình triển khai ESNI, người ta tiết lộ rằng cơ chế được đề xuất không bao gồm tất cả các nguồn rò rỉ dữ liệu máy chủ có thể xảy ra và việc sử dụng nó là không đủ để đảm bảo tính bảo mật hoàn toàn của các phiên HTTPS. Đặc biệt, khi tiếp tục phiên đã thiết lập trước đó, tên miền ở dạng văn bản rõ ràng tiếp tục được chỉ định trong số các tham số của tiện ích mở rộng TLS PSK (Pre-Shared Key). Ngoài ra, những nỗ lực triển khai ESNI đã xác định được các vấn đề về khả năng tương thích và mở rộng quy mô đã ngăn cản việc áp dụng rộng rãi ESNI.
Có tính đến những thiếu sót đã được xác định của ESNI, một cơ chế ECH phổ quát mới đã được phát triển cho phép mã hóa các tham số của bất kỳ tiện ích mở rộng TLS nào. Về mặt kỹ thuật, sự khác biệt chính giữa ECH và ESNI là thay vì các trường riêng lẻ, toàn bộ thông báo ClientHello được mã hóa cùng một lúc. ECH liên quan đến việc chia ClientHello thành hai tin nhắn riêng biệt - tin nhắn ClientHelloInner được mã hóa (SNI Inner) và tin nhắn ClientHelloOuter cơ bản không được mã hóa (SNI Outer). SNI Outer không được mã hóa mang dữ liệu không riêng tư như phiên bản TLS và danh sách mật mã được sử dụng cũng như tên miền phổ biến không trùng với tên thực của miền được yêu cầu. Ví dụ: đối với tất cả các máy khách Cloudflare, SNI Outer không được mã hóa chỉ định máy chủ chung "cloudflare-ech.com", nhưng tên thực của máy chủ được yêu cầu được truyền trong SNI Inner được mã hóa và không có sẵn để phân tích.
ECH cũng sử dụng một lược đồ phân phối khóa mã hóa khác: thông tin khóa công khai được truyền trong các bản ghi DNS HTTPSSVC thay vì các bản ghi TXT. Mã hóa đầu cuối được xác thực dựa trên cơ chế HPKE (Mã hóa khóa công khai lai) được sử dụng để lấy và mã hóa khóa. ECH cũng hỗ trợ truyền lại khóa an toàn từ máy chủ, có thể được sử dụng trong trường hợp xoay vòng khóa. người phục vụ và để giải quyết các sự cố liên quan đến việc truy xuất các khóa lỗi thời từ bộ nhớ đệm DNS.
Nguồn: opennet.ru
