في 24 سبتمبر ،
أعلن CloudFlare عن دعم امتداد TLS 1.3 المشفر SNI.
فوائد ESNI- لا أحد يرى المجال الذي تقوم بالوصول إليه. كل ما يعرفه الموفر هو فقط عنوان IP الذي تتصل به.
- واجهة المجال غير مطلوبة.
كيف يعمل ESNIعلى الإنترنت الحديث ، يمكن أن يستضيف عنوان IP واحد العديد من المجالات المختلفة. لتزويدك بالشهادة الصحيحة ، يحتاج الخادم إلى معرفة المجال الذي تقوم بالوصول إليه. لذلك ، يتم إرسال اسم المضيف في نص واضح ، قبل بدء إنشاء جلسة TLS.
مخطط SNI
يقوم ESNI أيضًا بتشفير هذا الجزء من اتصال العميل بالخادم. يأخذ العميل المفتاح العام للخادم من DNS ويقوم بتشفير جميع البيانات معه حتى يتم إنشاء جلسة TLS.
سير عمل ESNI
تحلق في المرهمتعتمد ENSI بشكل كبير على DNS. لدرجة أنه مع التنفيذ الحالي لـ DNS (نص عادي) ، فإن وضع DPI على بروتوكول DNS وحظر جميع الحقول باستخدام المفاتيح العامة للخوادم أمر أساسي. لا يمكن إصلاح هذه المشكلة إلا من خلال التبديل الضخم إلى DNSSEC أو DNS عبر HTTPS. إذا حكمنا من خلال
مدونة مطوري Chrome ، فإن هذا الانتقال قاب قوسين أو أدنى.
يجب دعم ESNI بواسطة المتصفحات. حتى الآن مع الدعم ليس كذلك.
ماذا نحصل من هذا؟ستكون الرقابة على الإنترنت معقدة للغاية. الآن تحدث معظم الأقفال على أسماء DNS. كل هذه الأقفال ستتوقف عن العمل. سيبقى حظر استعلامات DNS أو عناوين IP فقط.
سيتوقف حظر استعلام DNS عن العمل بعد تمكين DNS الافتراضي عبر HTTPS في المستعرضات القياسية. وسيكون هناك إمكانية واحدة فقط للحظر بواسطة عناوين IP. يمكنك حظر خادم DNS أو المواقع المرفوضة.
الحظر بواسطة عناوين IP للأشخاص الشجعان جدًا. يمكن لقفل واحد ربط الكثير من المجالات غير المعقدة ولا توجد طريقة مناسبة للتحقق مسبقًا من الشخص الذي يربطه بالضبط. يمكن للخدمة المحظورة ، في بضع نقرات ، وبشكل عام تلقائيًا ، تغيير العنوان إلى غير محظور. لن يلاحظ مستخدموه أي شيء.
المجموعستكون الحياة أفضل قليلاً. لكن ليس الآن. قبل دعم ESNI الكامل ، ما زلت بحاجة إلى اتخاذ بعض الخطوات.
المراجعتحقق من متصفحك للحصول على دعم تشفير TLS 1.3 و ESNI و DNS
هنا .