Зашифрованный клиент Hello, более известный под своей аббревиатурой (ECH) — новая функциональность который Mozilla анонсировала в рамках новой поддержки пользователей стабильной ветки Firefox.
ЭЧ, это новая технология, предназначенная для шифрования информации о параметрах сеанса TLS, таких как запрошенное имя домена, поскольку при этом используется другая схема распределения ключей для шифрования: информация об открытом ключе хранится в DNS-записях HTTPSSVC, а не в записях TXT.
Для получения и шифрования ключа используется сквозное шифрование с аутентификацией на основе механизма HPKE. ECH также поддерживает безопасную передачу ключей с сервера, которую можно использовать в случае смены ключей на сервере и для решения проблем с получением устаревших ключей из кэша DNS.
Поскольку помимо подключения к серверу информация о запрашиваемых доменах фильтруется через DNS, для полной защиты помимо ECH необходимо использовать технологию DNS over HTTPS или DNS over TLS для шифрования DNS-трафика. Firefox не будет использовать ECH, если в настройках не включен DNS over HTTPS. Вы можете проверить поддержку ECH в своем браузере на этой странице.
Большая часть наших данных, передаваемых между веб-сайтами, таких как наши пароли, номера кредитных карт и файлы cookie, защищены криптографическими протоколами, такими как Transport Layer Security (TLS). ECH — это новое расширение TLS, которое также защищает личность веб-сайтов, которые мы посещаем, заполняя пробелы в конфиденциальности в нашей существующей инфраструктуре онлайн-безопасности.
Mozilla упоминает, что один из факторов фундаментальный для интеграции ECH по умолчанию в Firefox было включение Cloudflare поддержки ECH в свою сеть доставки контента. несколько дней назад. С практической точки зрения, поскольку данные о запрашиваемых хостах при использовании ECH скрыты от анализа, фильтрация и блокировка нежелательных сайтов с помощью Cloudflare CDN теперь потребует блокировки всей сети Cloudflare, блокировки всех запросов ECH или организации перехвата HTTPS с использованием поддельных корневых сертификатов. в системе пользователя.
Изначально для организации работы по IP-адресу нескольких HTTPS-сайтов использовалось расширение TLS SNI, в котором имя запрашиваемого хоста указывалось в передаваемом сообщении ClientHello перед установлением зашифрованного канала связи.
Упоминается, что благодаря этой функции стало возможным распределять запросы между виртуальными хостами на ранней стадии обработки соединения, а также это позволило интернет-провайдеру выборочно фильтровать HTTPS-трафик и анализировать, какие сайты открывает пользователь, чего не произошло. позволяют добиться полной конфиденциальности при использовании HTTPS.
Для решения этой проблемы и предотвращения утечки информации о запрашиваемом сайте позже было предложено расширение ESNI, реализующее шифрование данных по имени хоста.
В ходе реализации ESNI выяснилось, что предложенный механизм не охватывает все возможные источники утечки данных хоста и его использование недостаточно для обеспечения полной конфиденциальности HTTPS-сессий. В частности, при возобновлении ранее установленного сеанса среди параметров расширения TLS PSK по-прежнему указывалось доменное имя в открытом виде. Кроме того, усилия по внедрению ESNI выявили проблемы совместимости и масштабирования, которые препятствовали широкому внедрению ESNI.
Благодаря ECH в Firefox пользователи могут быть уверены, что их режим просмотра более конфиденциальен.
Наконец, стоит упомянуть, что Код для работы с ECH изначально был добавлен в версия Firefox 85, но по умолчанию он был отключен, и Google со своей стороны начал постепенно включать поддержку ECH в Chrome, начиная с выпуска Chrome 115.
Если вы интересно узнать об этом больше, вы можете проверить подробности в по следующей ссылке.