Soporte de SNI cifrado implementado en CloudFlare

El 24 de septiembre, CloudFlare anunció soporte para la extensión SNI cifrada TLS 1.3.



Beneficios de ESNI

• Nadie ve a qué dominio está accediendo. Todo lo que el proveedor sabe es solo la dirección IP con la que se está contactando.
• El dominio de frentes no es necesario.

Cómo funciona ESNI

En la Internet moderna, una sola dirección IP puede alojar muchos dominios diferentes. Para proporcionarle el certificado correcto, el servidor necesita saber a qué dominio está accediendo. Por lo tanto, el nombre de host se transmite en texto claro, antes del inicio del establecimiento de una sesión TLS.

Esquema SNI



ESNI también cifra esta parte de la comunicación del cliente con el servidor. El cliente toma la clave pública del servidor del DNS y encripta todos los datos con ella hasta que se establece la sesión TLS.

Flujo de trabajo de ESNI



Volar en la pomada

ENSI es altamente dependiente de DNS. Tanto es así que con la implementación actual de DNS (texto sin formato), poner DPI en el protocolo DNS y bloquear todos los campos con las claves públicas de los servidores es elemental. Este problema solo se puede solucionar mediante un cambio masivo a DNSSEC o DNS a través de HTTPS. A juzgar por el blog de desarrolladores de Chrome, esta transición está a la vuelta de la esquina.

ESNI debe ser compatible con los navegadores. Hasta ahora con el apoyo no es muy.

¿Qué obtenemos de esto?

La censura de Internet será muy complicada. Ahora la mayoría de los bloqueos se producen en nombres DNS. Todas estas cerraduras dejarán de funcionar. Solo se bloquearán las consultas DNS o las direcciones IP.

El bloqueo de consultas DNS dejará de funcionar después de habilitar el DNS predeterminado sobre HTTPS en los navegadores estándar. Y solo habrá una posibilidad de bloquear por direcciones IP. Puede bloquear un servidor DNS o sitios inaceptables.

El bloqueo por direcciones IP es para personas muy valientes. Un solo bloqueo puede enganchar una gran cantidad de dominios sin complicaciones y no hay una forma adecuada de verificar de antemano quién engancha exactamente. Un servicio bloqueado puede, en un par de clics, y generalmente automáticamente, cambiar la dirección a no bloqueada. Sus usuarios ni siquiera notarán nada.

Total

La vida será un poco mejor. Pero ahora no. Antes de la compatibilidad total con ESNI, aún debe seguir algunos pasos.

Referencias

Consulte su navegador para obtener soporte para el cifrado TLS 1.3, ESNI y DNS aquí .