Geekly articles weekly

Prise en charge SNF chiffrée implémentée par CloudFlare

Le 24 septembre, CloudFlare a annoncé la prise en charge de l'extension SNS chiffrée TLS 1.3.

image

Avantages d'ESNI

  • Personne ne voit à quel domaine vous accédez. Tout ce que le fournisseur sait, c'est seulement l'adresse IP à laquelle vous contactez.
  • La façade de domaine n'est pas nécessaire.

Comment fonctionne ESNI

Sur Internet moderne, une seule adresse IP peut héberger de nombreux domaines différents. Pour vous fournir le certificat correct, le serveur doit savoir à quel domaine vous accédez. Par conséquent, le nom d'hôte est transmis en texte clair, avant le début de l'établissement d'une session TLS.

Schéma SNI

image

ESNI crypte également cette partie de la communication du client avec le serveur. Le client prend la clé publique du serveur du DNS et crypte toutes les données avec lui jusqu'à ce que la session TLS soit établie.

Flux de travail ESNI

image

Voler dans la pommade

ENSI dépend fortement du DNS. À tel point qu'avec l'implémentation actuelle du DNS (texte brut), mettre DPI sur le protocole DNS et bloquer tous les champs avec les clés publiques des serveurs est élémentaire. Ce problème ne peut être résolu que par un passage massif à DNSSEC ou DNS sur HTTPS. À en juger par le blog des développeurs Chrome, cette transition approche à grands pas.

ESNI doit être pris en charge par les navigateurs. Jusqu'à présent, avec le soutien n'est pas très.

Qu'obtenons-nous de cela?

La censure sur Internet sera très compliquée. Maintenant, la plupart des verrous se produisent sur les noms DNS. Tous ces verrous cesseront de fonctionner. Seul le blocage des requêtes DNS ou des adresses IP restera.

Le blocage des requêtes DNS cessera de fonctionner après l'activation du DNS par défaut sur HTTPS dans les navigateurs standard. Et il n'y aura qu'une seule possibilité de bloquer par les adresses IP. Vous pouvez bloquer un serveur DNS ou des sites répréhensibles.

Le blocage par adresses IP est destiné aux personnes très courageuses. Un seul verrou peut accrocher de nombreux domaines simples et il n'existe aucun moyen adéquat de vérifier à l'avance qui il accroche exactement. Un service bloqué peut, en quelques clics, et généralement automatiquement, changer l'adresse en non bloqué. Ses utilisateurs ne remarqueront même rien.

Total

La vie sera un peu meilleure. Mais pas maintenant. Avant la prise en charge complète d'ESNI, vous devez toujours prendre quelques mesures.

Les références

Vérifiez ici votre navigateur pour prendre en charge TLS 1.3, ESNI et le chiffrement DNS.

Source: https://habr.com/ru/post/fr424857/

More articles:


All Articles