Mozilla обявява включването на ECH функционалност във Firefox 

Encrypted Client Hello, по-известен с акронима си (ECH) е новата функционалност който Mozilla обяви като част от новата поддръжка за потребителите на стабилния клон на Firefox.

ECH, това е a нова технология, предназначена за криптиране на информация относно параметрите на сесията на TLS, като например заявеното име на домейн, тъй като това използва различна схема за разпределение на ключове за криптиране: информацията за публичния ключ се съхранява в HTTPSSVC DNS записи вместо TXT записи.

За получаване и криптиране на ключа се използва удостоверено криптиране от край до край, базирано на механизма HPKE. ECH също поддържа защитено предаване на ключове от сървъра, което може да се използва в случай на изтичане на ключове на сървъра и за разрешаване на проблеми с извличането на остарели ключове от DNS кеша.

Тъй като в допълнение към свързването към сървъра, информацията за заявените домейни се филтрира през DNS, за пълна защита, освен ECH, е необходимо да се използва DNS през HTTPS или DNS през TLS технология за криптиране на DNS трафик. Firefox няма да използва ECH без DNS през HTTPS, активиран в настройките. Можете да проверите поддръжката на ECH във вашия браузър на тази страница.

Голяма част от нашите данни, споделени между уебсайтове, като нашите пароли, номера на кредитни карти и бисквитки, са защитени с криптографски протоколи като сигурност на транспортния слой (TLS). ECH е ново TLS разширение, което също защитава самоличността на уебсайтовете, които посещаваме, запълвайки празнината в поверителността в нашата съществуваща инфраструктура за онлайн сигурност.

Mozilla споменава, че един от факторите основен за ECH интеграция по подразбиране във Firefox беше включването на Cloudflare на ECH поддръжка в своята мрежа за доставка на съдържание преди няколко дни. От практическа гледна точка, тъй като данните за заявените хостове при използване на ECH са скрити от анализ, филтрирането и блокирането на нежелани сайтове с помощта на Cloudflare CDN сега ще изисква блокиране на цялата мрежа на Cloudflare, блокиране на всички ECH заявки или организиране на HTTPS прихващане с помощта на фалшиви основни сертификати. в системата на потребителя.

Първоначално за организиране на работа на IP адрес на множество HTTPS сайтове беше използвано разширението TLS SNI, в което името на искания хост беше посочено в предаденото съобщение ClientHello, преди да се установи криптиран комуникационен канал.

Споменава се, че благодарение на тази функция стана възможно разпределянето на заявки между виртуални хостове на ранен етап от обработката на връзката, но също така направи възможно ISP да филтрира избирателно HTTPS трафик и да анализира кои сайтове отваря потребителят и кои не позволяват постигане на пълна поверителност при използване на HTTPS.

За да се реши този проблем и да се предотврати изтичането на информация за искания сайт, по-късно беше предложено разширение ESNI, което прилага криптиране на данни с името на хоста.

По време на внедряването на ESNI беше разкрито, че предложеният механизъм не покрива всички възможни източници на изтичане на данни от хоста и използването му не е достатъчно, за да гарантира пълна поверителност на HTTPS сесиите. По-специално, при възобновяване на предишна установена сесия, името на домейна с чист текст все още беше посочено сред параметрите на разширението на TLS PSK. Освен това усилията за внедряване на ESNI идентифицираха проблеми със съвместимостта и мащабирането, които попречиха на широкото приемане на ESNI.

С ECH във Firefox потребителите могат да бъдат спокойни, че техните модели на сърфиране са по-поверителни.

Накрая си струва да споменем това Кодът за работа с ECH първоначално беше добавен в версията firefox 85, но беше деактивиран по подразбиране и Google от своя страна започна постепенно да включва поддръжка на ECH в Chrome, като се започне с пускането на Chrome 115.

Ако сте заинтересовани да научите повече за това, можете да проверите подробностите в следната връзка.