मोज़िला ने घोषणा की कि यह ईएसएनआई के उपयोग को ईसीएच के साथ बदल देगा (एन्क्रिप्टेड क्लाइंट हैलो) फ़ायरफ़ॉक्स 85 में (संस्करण जिसे 26 जनवरी को जारी किया जाना है) टीएलएस सत्र के मापदंडों की जानकारी को एन्क्रिप्ट करने के लिए, जैसे अनुरोधित डोमेन नाम।
Firefox उल्लेख है कि ECH ईएसएनआई से विकसित होना जारी है और यह IETF मानक बनने के लिए मसौदा चरण में है। कई HTTPS साइटों के एक आईपी पते पर काम को व्यवस्थित करने के लिए, एक TLS SNI एक्सटेंशन को उसी समय विकसित किया गया था, जो क्लाएंट नेम में क्लीयर टेक्स्ट में होस्ट नाम से गुजरता है, जो एन्क्रिप्टेड संचार चैनल स्थापित होने से पहले प्रसारित किया गया था।
दो साल पहले, हमने एनक्रिप्टेड सर्वर नेम इंडिकेशन (ESNI) एक्सटेंशन के लिए प्रयोगात्मक समर्थन की घोषणा की जो फ़ायरफ़ॉक्स नाइटली में गोपनीयता की रक्षा करता है। सर्वर नाम संकेत (एसएनआई) टीएलएस एक्सटेंशन टीएलएस क्लाइंट हैलो संदेश में सर्वर के होस्ट नाम की एक स्पष्ट पाठ प्रतिलिपि प्रेषित करके सर्वर और प्रमाणपत्र चयन को सक्षम करता है।
यह DNS के समान एक गोपनीयता रिसाव का प्रतिनिधित्व करता है, और जिस तरह DNS-over-HTTPS DNS प्रश्नों को होस्टनाम को पथ के साथ पर्यवेक्षकों के सामने आने से रोकता है, ESNI होस्टनाम लीक को प्रोटोकॉल प्रोटोकॉल से रोकने का प्रयास करता है। TLS लिंक।
यह सुविधा चुनिंदा HTTPS ट्रैफ़िक को फ़िल्टर करना संभव बनाती है और विश्लेषण करता है कि उपयोगकर्ता किन साइटों को खोलता है, जो HTTPS का उपयोग करते समय पूर्ण गोपनीयता प्राप्त करने की अनुमति नहीं देता है।
सूचना रिसाव को रोकने के लिए अनुरोधित साइट के बारे में, कई साल पहले एक ESNI एक्सटेंशन विकसित किया गया था, जो डोमेन नाम के साथ डेटा एन्क्रिप्शन लागू करता है (एसएनआई के अलावा, डीएनएस भी सूचना रिसाव का एक स्रोत हो सकता है, इसलिए, ईएसएनआई के अलावा, टीटीएस तकनीक पर एचटीटीपीएस या डीएनएस पर डीएनएस का उपयोग करना आवश्यक है) का है। ईएसएनआई को लागू करने के प्रयासों के दौरान, यह पाया गया कि प्रस्तावित तंत्र एचटीपीएस सत्रों की पूर्ण गोपनीयता की गारंटी देने के लिए पर्याप्त नहीं है।
विशेष रूप से जब पहले से स्थापित सत्र को फिर से शुरू करनामें डोमेन नाम स्पष्ट पाठ के लिएTLS PSK एक्सटेंशन के मापदंडों के बीच लगता है (प्री-शेयर्ड की), अर्थात्, SNI फ़ील्ड का एन्क्रिप्शन पर्याप्त नहीं था और संभवतः PSK के लिए ESNI एनालॉग बनाना आवश्यक था और भविष्य में, संभवतः अन्य क्षेत्रों के लिए। इसके अतिरिक्त, ESNI को लागू करने के प्रयासों ने संगतता और स्केलिंग मुद्दों की पहचान की है,
एन्क्रिप्ट करने की आवश्यकता के जवाब में किसी भी टीएलएस विस्तार के पैरामीटर, एक सार्वभौमिक ईसीएच तंत्र प्रस्तावित किया गया था, ईएसएनआई से मुख्य अंतर यह है कि एक अलग क्षेत्र के बजाय, पूरे क्लाइंटहेलो संदेश को एन्क्रिप्ट किया गया है।
ECH में दो प्रकार के ClientHello संदेश शामिल हैं: एक एन्क्रिप्टेड ClientHelloInner संदेश और एक अनएन्क्रिप्टेड आधार ClientHelloOuter संदेश, साथ ही यदि सर्वर ECH का समर्थन करता है और ClientHelloInner को डिक्रिप्ट करने में सक्षम था, तो TLS सत्र के लिए इस प्रकार का उपयोग जारी रखें। अन्यथा, डेटा ClientHelloOuter से लिया जाता है।
अंत में, ECH ESNI का एक रोमांचक और मजबूत विकास है, और फ़ायरफ़ॉक्स प्रोटोकॉल का समर्थन करने के लिए आएगा। हम यह सुनिश्चित करने के लिए कड़ी मेहनत कर रहे हैं कि यह अंतर-योग्य है और इसे बड़े पैमाने पर तैनात किया जा सकता है, और हम उपयोगकर्ताओं को इस सुविधा के गोपनीयता लाभों का एहसास करने के लिए उत्सुक हैं।
ECH भी एक अलग कुंजी वितरण योजना का उपयोग करता है एन्क्रिप्शन के लिए: सार्वजनिक कुंजी जानकारी DNS HTTPSSVC रिकॉर्ड में प्रसारित होती है और TXT रिकॉर्ड में नहीं। हाइब्रिड सार्वजनिक कुंजी एन्क्रिप्शन (HPKE) पर आधारित प्रमाणित एंड-टू-एंड एन्क्रिप्शन का उपयोग कुंजी को प्राप्त करने और एन्क्रिप्ट करने के लिए किया जाता है। ECH सर्वर से कुंजियों के सुरक्षित रिले का भी समर्थन करता है, जिसका उपयोग सर्वर पर कुंजी रोटेशन की स्थिति में और DNS कैश से बासी कुंजी प्राप्त करने के साथ समस्याओं को हल करने के लिए किया जा सकता है।
इसके अलावा, हम फ़ायरफ़ॉक्स 86 में डिफ़ॉल्ट रूप से सक्षम करने के निर्णय को इंगित कर सकते हैं के साथ संगतता AVIF छवि प्रारूप (AV1 छवि प्रारूप), जो AV1 वीडियो एन्कोडिंग प्रारूप से इंट्रा-फ्रेम संपीड़न तकनीकों का उपयोग करता है। AVIF में संपीड़ित डेटा वितरित करने के लिए कंटेनर HEIF के समान है।
Fuente: https://blog.mozilla.org