Geekly articles weekly

CloudFlare implementou suporte a SNI criptografado

Em 24 de setembro, o CloudFlare anunciou suporte para a extensão SNI criptografada TLS 1.3.

imagem

Benefícios da ESNI

  • Ninguém vê qual domínio você está acessando. Tudo o que o provedor sabe é apenas o endereço IP com o qual você está entrando em contato.
  • A frente do domínio não é necessária.

Como a ESNI funciona

Na Internet moderna, um único endereço IP pode hospedar muitos domínios diferentes. Para fornecer o certificado correto, o servidor precisa saber qual domínio você está acessando. Portanto, o nome do host é transmitido em texto não criptografado, antes do início do estabelecimento de uma sessão TLS.

Esquema SNI

imagem

A ESNI também criptografa essa parte da comunicação do cliente com o servidor. O cliente pega a chave pública do servidor do DNS e criptografa todos os dados até que a sessão TLS seja estabelecida.

ESNI Workflow

imagem

Voar na pomada

O ENSI é altamente dependente do DNS. Tanto que, com a implementação atual do DNS (texto sem formatação), colocar DPI no protocolo DNS e bloquear todos os campos com as chaves públicas dos servidores é fundamental. Esse problema pode ser corrigido apenas por uma grande mudança para DNSSEC ou DNS sobre HTTPS. A julgar pelo blog de desenvolvedores do Chrome, essa transição está chegando.

O ESNI deve ser suportado pelos navegadores. Até agora, com apoio não é muito.

O que obtemos disso?

A censura na Internet será muito complicada. Agora a maioria dos bloqueios ocorre em nomes DNS. Todos esses bloqueios vão parar de funcionar. Apenas o bloqueio de consultas DNS ou endereços IP permanecerá.

O bloqueio de consultas DNS deixará de funcionar depois de ativar o DNS padrão sobre HTTPS nos navegadores padrão. E haverá apenas uma possibilidade de bloquear por endereços IP. Você pode bloquear um servidor DNS ou sites censuráveis.

O bloqueio por endereços IP é para pessoas muito corajosas. Um único bloqueio pode conectar muitos domínios não complicados e não há maneira adequada de verificar antecipadamente quem exatamente ele liga. Um serviço bloqueado pode, em alguns cliques, e geralmente automaticamente, alterar o endereço para não bloqueado. Seus usuários nem perceberão nada.

Total

A vida será um pouco melhor. Mas agora não. Antes do suporte completo da ESNI, você ainda precisa executar algumas etapas.

Referências

Verifique seu navegador para suporte à criptografia TLS 1.3, ESNI e DNS aqui .

Source: https://habr.com/ru/post/pt424857/

More articles:


All Articles