Geekly articles weekly

CloudFlare Mengimplementasikan Dukungan SNI Terenkripsi

Pada 24 September, CloudFlare mengumumkan dukungan untuk ekstensi SNI Terenkripsi TLS 1.3.

gambar

Manfaat ESNI

  • Tidak ada yang melihat domain mana yang Anda akses. Yang diketahui penyedia hanyalah alamat IP yang Anda hubungi.
  • Fronting Domain tidak diperlukan.

Bagaimana ESNI Bekerja

Di Internet modern, satu alamat IP dapat menampung banyak domain berbeda. Untuk memberi Anda sertifikat yang benar, server harus tahu domain mana yang Anda akses. Oleh karena itu, nama host dikirim dalam teks yang jelas, sebelum dimulainya sesi TLS.

Skema SNI

gambar

ESNI juga mengenkripsi bagian komunikasi klien ini dengan server. Klien mengambil kunci publik server dari DNS dan mengenkripsi semua data dengan itu sampai sesi TLS dibuat.

ESNI Workflow

gambar

Terbang di salep

ENSI sangat tergantung pada DNS. Sedemikian rupa sehingga dengan implementasi DNS saat ini (teks biasa), menempatkan DPI pada protokol DNS dan memblokir semua bidang dengan kunci publik dari server adalah dasar. Masalah ini hanya dapat diperbaiki dengan beralih besar ke DNSSEC atau DNS melalui HTTPS. Dilihat oleh blog pengembang Chrome, transisi ini sudah dekat.

ESNI harus didukung oleh browser. Sejauh ini dengan dukungan tidak terlalu.

Apa yang kita dapat dari ini?

Sensor internet akan sangat rumit. Sekarang sebagian besar kunci terjadi pada nama DNS. Semua kunci ini akan berhenti bekerja. Hanya memblokir kueri DNS atau alamat IP yang akan tetap ada.

Pemblokiran permintaan DNS akan berhenti berfungsi setelah mengaktifkan DNS default melalui HTTPS di browser standar. Dan hanya akan ada satu kemungkinan untuk diblokir berdasarkan alamat IP. Anda dapat memblokir server DNS atau situs yang tidak menyenangkan.

Memblokir dengan alamat IP adalah untuk orang yang sangat berani. Satu kunci dapat mengaitkan banyak domain yang tidak rumit dan tidak ada cara yang memadai untuk memeriksa di muka siapa yang sebenarnya mengaitnya. Layanan yang diblokir dapat, dalam beberapa klik, dan umumnya secara otomatis, mengubah alamat menjadi tidak diblokir. Para penggunanya bahkan tidak akan melihat apa pun.

Total

Hidup akan sedikit lebih baik. Tapi tidak sekarang. Sebelum dukungan penuh ESNI, Anda masih perlu mengambil beberapa langkah.

Referensi

Periksa browser Anda untuk dukungan TLS 1.3, ESNI, dan enkripsi DNS di sini .

Source: https://habr.com/ru/post/id424857/

More articles:


All Articles