Разработчики создали расширение протокола TLS для шифрования имени хоста
Разработчики создали расширение протокола TLS для шифрования имени хоста
Разработчики из Apple, Mozilla, CloudFlare и Fastly на хакатоне IETF 102 создали расширение ESNI протокола TLS, которое позволит передавать идентификатор хоста в зашифрованном виде.
SNI и ESNI
Расширение протокола TLS носит название SNI и используется для размещения на одном IP-адресе нескольких HTTPS-сайтов с их сертификатами. Имя хоста открыто передаётся до процесса шифрования в сообщении ClientHello. Однако при использовании ESNI имя хоста зашифровывается в поле с помощью секрета. Клиент и сервер получат к нему доступ только в случае успешного обмена ключами. Расшифровка поля требует знания открытых и закрытых ключей обеих сторон либо согласованного в процессе установки TLS-соединения секрета.
Польза ESNI
Новое расширение не позволит сторонним лицам получить информацию о сайтах, к которым обращался пользователь. К примеру, провайдеры не смогут выборочно фильтровать трафик. Библиотеки браузеров Chromium и Firefox, а также HTTP-сервера h20 уже поддерживают начальную спецификацию расширения.
Amazon и Google уже реализовали возможность сокрытия имени хоста от лишних глаз. Однако с 1 мая 2018 года Amazon оставила доступ к доменному фронтированию для ограниченного количества пользователей. Ранее, 19 апреля 2018 года, Google полностью отключила ту же функцию, поскольку она использовалась в устаревшем программном обеспечении.
