Інформаційна безпека

CloudFlare реалізувала підтримку Encrypted SNI

24 вересня CloudFlare оголосили про підтримку розширення TLS 1.3 Encrypted SNI.

Переваги ESNI

  • Ніхто не бачить на який домен ви заходите. Все що знає провайдер це тільки IP адреса на яку ви претендуєте.
  • Domain Fronting не потрібен.

Як ESNI працює

В сучасному інтернеті на одному IP адресі може розташовуватися безліч різних доменів. Щоб надати вам вірний сертифікат сервера необхідно знати на який саме домен ви звертаєтеся. Тому hostname передається відкритим текстом, до початку встановлення TLS сесії.

Схема роботи SNI

ESNI шифрує і цю частину спілкування клієнта з сервером. Клієнт бере публічний ключ з сервера DNS і шифрує їм всі дані до встановлення TLS сесії.

Схема роботи ESNI

Ложка дьогтю

ENSI сильно залежимо від DNS. Настільки сильно, що при поточній реалізації DNS (plain text) поставити DPI DNS протокол і блокувати всі поля з публічними ключами серверів елементарно. Ця проблема виправлена тільки масовим переходом на DNSSEC або DNS over HTTPS. Судячи з блогу розробників Хрому цей перехід вже на горами.

ESNI повинен підтримуватися браузерами. Поки з підтримкою не дуже.

Що ми від цього отримаємо?

Цензура в інтернеті сильно ускладниться. Зараз більшість блокувань відбувається за імен DNS. Всі ці блокування перестануть працювати. Залишаться тільки блокування DNS запитів або IP адрес.

Блокування DNS запитів перестануть працювати після включення за замовчуванням DNS over HTTPS в стандартних браузерах. І залишиться тільки одна можливість блокувати по IP адресам. Можна блокувати або DNS сервера або неугодні сайти.

Блокування по IP адресам це для дуже сміливих людей. Однією блокуванням може зачепити безліч непричетних доменів і немає адекватного способу перевірити заздалегідь кого саме зачепить. А блокується сервіс може в пару кліків, та й взагалі автоматично, змінити адресу не заблокований. Його користувачі навіть нічого не помітять.

Разом

Життя стане трохи краще. Але не зараз. До повноцінної підтримки ESNI ще необхідно зробити кілька кроків.

Посилання

Перевірити свій браузер на підтримку TLS 1.3, ESNI і шифрування DNS можна тут.

Related Articles

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Close