Розробники створили розширення протоколу TLS для шифрування імені хоста
Розробники створили розширення протоколу TLS для шифрування імені хоста
Розробники з Apple, Mozilla, CloudFlare та Fastly на хакатоні IETF 102 створили розширення ESNI протоколу TLS, яке дозволить передавати ідентифікатор хоста в зашифрованому вигляді.
SNI та ESNI
Розширення протоколу TLS носить назву SNI і використовується для розміщення на одній IP-адресі декількох HTTPS-сайтів з їх сертифікатами. Ім'я хоста відкрито передається до процесу шифрування в повідомленні ClientHello. Однак при використанні ESNI ім'я хоста зашифровується в полі з допомогою секрету. Клієнт та сервер отримають до його доступ лише у випадку успішного обміну ключами. Розшифрування поля вимагає знання відкритих і закритих ключів обох сторін або узгодженого в процесі установки TLS-з'єднання секрету.
Корисність ESNI
Нове розширення не дозволить стороннім особам отримати інформацію про сайти, до яких звертався користувач. Наприклад, провайдери не зможуть вибірково фільтрувати трафік. Бібліотеки браузерів Chromium і Firefox, а також HTTP-сервера h20 вже підтримують початкову специфікацію розширення.
Amazon і Google вже реалізували можливість приховування імені хоста від зайвих очей. Однак з 1 травня 2018 року Amazon залишила доступ до доменного фронтування для обмеженої кількості користувачів. Раніше, 19 квітня 2018 року, Google повністю відключила ту ж функцію, оскільки вона використовувалася в застарілому програмному забезпеченні.
