forum.opennet.ru

Составление сообщения

Исходное сообщение

"В CDN Cloudflare внедрена поддержка ESNI для шифрования имен..."
Отправлено opennews, 25-Сен-18 08:50

Компания Cloudflare сообщила (https://blog.cloudflare.com/esni/) о реализации (https://blog.cloudflare.com/encrypted-sni/) в своей сети доставки контента поддержки TLS-расширения ESNI (https://datatracker.ietf.org/doc/draft-ietf-tls-esni/?includ... (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.

До сих пор для организации работы на одном IP-адресе нескольких HTTPS-сайтов применялось расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении  ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера или владельца точки беспроводного доступа выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет (https://www.eff.org/deeplinks/2018/09/esni-privacy-protectin... добиться  полной конфиденциальности при применении HTTPS.
ESNI устраняет этот недостаток и полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ESNI даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса. Системы инспектирования трафика будут видеть только обращения к CDN и не смогут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата. Возможным каналом утечки остаётся DNS, но для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS (https://www.opennet.ru/opennews/art.shtml?num=49271) или DNS-over-TLS (https://www.opennet.ru/opennews/art.shtml?num=48443).
На стороне клиента экспериментальная поддержка ESNI реализована в ночных сборках Firefox, а также в библиотеках BoringSSL (используется в Chromium), NSS (используется в Firefox) и picotls (https://github.com/h2o/picotls) (используется в http-сервере h2o). При использовании ESNI имя хоста как и в SNI передаётся в сообщении ClientHello, но содержимое поля server_name зашифровано. Для шифрования используется секрет (https://ru.wikipedia.org/wiki/SSL#%D0%90%D1&#... вычисленный на основе ключей  сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу.

URL: https://www.eff.org/deeplinks/2018/09/esni-privacy-protectin...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49325

Исходное сообщение
"В CDN Cloudflare внедрена поддержка ESNI для шифрования имен..." Отправлено opennews, 25-Сен-18 08:50
Компания Cloudflare сообщила (https://blog.cloudflare.com/esni/) о реализации (https://blog.cloudflare.com/encrypted-sni/) в своей сети доставки контента поддержки TLS-расширения ESNI (https://datatracker.ietf.org/doc/draft-ietf-tls-esni/?includ... (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения. До сих пор для организации работы на одном IP-адресе нескольких HTTPS-сайтов применялось расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера или владельца точки беспроводного доступа выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет (https://www.eff.org/deeplinks/2018/09/esni-privacy-protectin... добиться полной конфиденциальности при применении HTTPS. ESNI устраняет этот недостаток и полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ESNI даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса. Системы инспектирования трафика будут видеть только обращения к CDN и не смогут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата. Возможным каналом утечки остаётся DNS, но для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS (https://www.opennet.ru/opennews/art.shtml?num=49271) или DNS-over-TLS (https://www.opennet.ru/opennews/art.shtml?num=48443). На стороне клиента экспериментальная поддержка ESNI реализована в ночных сборках Firefox, а также в библиотеках BoringSSL (используется в Chromium), NSS (используется в Firefox) и picotls (https://github.com/h2o/picotls) (используется в http-сервере h2o). При использовании ESNI имя хоста как и в SNI передаётся в сообщении ClientHello, но содержимое поля server_name зашифровано. Для шифрования используется секрет (https://ru.wikipedia.org/wiki/SSL#%D0%90%D1&#... вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу. URL: https://www.eff.org/deeplinks/2018/09/esni-privacy-protectin... Новость: https://www.opennet.ru/opennews/art.shtml?num=49325

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Cloudflare сообщила (https://blog.cloudflare.com/esni/) о реализации (https://blog.cloudflare.com/encrypted-sni/) 
> в своей сети доставки контента поддержки TLS-расширения ESNI (https://datatracker.ietf.org/doc/draft-ietf-tls-esni/?include_text=1) 
> (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом 
> в рамках HTTPS-соединения.

> До сих пор для организации работы на одном IP-адресе нескольких HTTPS-сайтов применялось 
> расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении 
>  ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность 
> даёт возможность на стороне интернет-провайдера или владельца точки беспроводного доступа 
> выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, 
> что не позволяет (https://www.eff.org/deeplinks/2018/09/esni-privacy-protecting-upgrade-https) 
> добиться  полной конфиденциальности при применении HTTPS.

> ESNI устраняет этот недостаток и полностью исключает утечку сведений о запрашиваемом сайте 
> при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента 
> применение ESNI даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса. 
> Системы инспектирования трафика будут видеть только обращения к CDN и не 
> смогут применить блокировку без подмены TLS-сеанса, в случае которой в браузере 
> пользователя будет показано соответствующее уведомление о подмене сертификата. Возможным 
> каналом утечки остаётся DNS, но для скрытия обращения к DNS клиентом 
> может применяться DNS-over-HTTPS (https://www.opennet.ru/opennews/art.shtml?num=49271) 
> или DNS-over-TLS (https://www.opennet.ru/opennews/art.shtml?num=48443).

> На стороне клиента экспериментальная поддержка ESNI реализована в ночных сборках Firefox, 
> а также в библиотеках BoringSSL (используется в Chromium), NSS (используется в 
> Firefox) и picotls (https://github.com/h2o/picotls) (используется в http-сервере h2o). 
> При использовании ESNI имя хоста как и в SNI передаётся в 
> сообщении ClientHello, но содержимое поля server_name зашифровано. Для шифрования используется 
> секрет (https://ru.wikipedia.org/wiki/SSL#%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_%D0%B8_%D0%BE%D0%B1%D0%BC%D0%B5%D0%BD_%D0%BA%D0%BB%D1%8E%D1%87%D0%B0%D0%BC%D0%B8), 
> вычисленный на основе ключей  сервера и клиента. Для расшифровки перехваченного 
> или полученного значения поля ESNI необходимо знать закрытый ключ клиента или 
> сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах 
> передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а 
> для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи 
> согласованного в процессе установки TLS-соединения общего секрета, известного только 
> клиенту и серверу.

> URL: https://www.eff.org/deeplinks/2018/09/esni-privacy-protecting-upgrade-https 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=49325

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру