Geekly articles weekly

CloudFlare implementiert verschlüsselte SNI-Unterstützung

Am 24. September kündigte CloudFlare die Unterstützung der TLS 1.3 Encrypted SNI-Erweiterung an.

Bild

Vorteile von ESNI

  • Niemand sieht, auf welche Domain Sie zugreifen. Der Anbieter kennt lediglich die IP-Adresse, mit der Sie Kontakt aufnehmen.
  • Domain Fronting wird nicht benötigt.

Wie ESNI funktioniert

Im modernen Internet kann eine einzelne IP-Adresse viele verschiedene Domänen hosten. Um Ihnen das richtige Zertifikat zur Verfügung zu stellen, muss der Server wissen, auf welche Domäne Sie zugreifen. Daher wird der Hostname vor Beginn der Einrichtung einer TLS-Sitzung im Klartext übertragen.

SNI-Schema

Bild

ESNI verschlüsselt auch diesen Teil der Kommunikation des Clients mit dem Server. Der Client nimmt den öffentlichen Schlüssel des Servers von DNS und verschlüsselt alle Daten damit, bis die TLS-Sitzung eingerichtet ist.

ESNI-Workflow

Bild

Fliege in die Salbe

ENSI ist stark von DNS abhängig. So sehr, dass es bei der aktuellen Implementierung von DNS (Klartext) elementar ist, DPI in das DNS-Protokoll aufzunehmen und alle Felder mit den öffentlichen Schlüsseln der Server zu blockieren. Dieses Problem kann nur durch einen massiven Wechsel zu DNSSEC oder DNS über HTTPS behoben werden. Dem Chrome-Entwicklerblog nach zu urteilen, steht dieser Übergang vor der Tür.

ESNI muss von Browsern unterstützt werden. Bisher ist mit Unterstützung nicht sehr.

Was bekommen wir davon?

Die Internet-Zensur wird sehr kompliziert sein. Jetzt treten die meisten Sperren für DNS-Namen auf. Alle diese Schlösser funktionieren nicht mehr. Es bleiben nur blockierende DNS-Abfragen oder IP-Adressen übrig.

Das Blockieren von DNS-Abfragen funktioniert nicht mehr, nachdem Standard-DNS über HTTPS in Standardbrowsern aktiviert wurde. Und es gibt nur eine Möglichkeit, nach IP-Adressen zu blockieren. Sie können entweder einen DNS-Server oder unerwünschte Sites blockieren.

Das Blockieren durch IP-Adressen ist für sehr mutige Leute. Ein einzelnes Schloss kann viele unkomplizierte Domänen einbinden, und es gibt keine ausreichende Möglichkeit, im Voraus zu überprüfen, wer genau es einbindet. Ein blockierter Dienst kann mit wenigen Klicks und im Allgemeinen automatisch die Adresse in nicht blockiert ändern. Seine Benutzer werden nicht einmal etwas bemerken.

Insgesamt

Das Leben wird ein bisschen besser. Aber nicht jetzt. Vor der vollständigen ESNI-Unterstützung müssen Sie noch einige Schritte ausführen.

Referenzen

Überprüfen Sie hier Ihren Browser auf Unterstützung für TLS 1.3, ESNI und DNS-Verschlüsselung.

Source: https://habr.com/ru/post/de424857/

More articles:


All Articles