Хабрахабр

CloudFlare реализовала поддержку Encrypted SNI

24 сентября CloudFlare объявили о поддержке расширения TLS 1.3 Encrypted SNI.

image

Преимущества ESNI

  • Никто не видит на какой домен вы заходите. Все что знает провайдер это только IP адрес на который вы обращаетесь.
  • Domain Fronting не нужен.

Как ESNI работает

Чтобы предоставить вам верный сертификат серверу необходимо знать на какой именно домен вы обращаетесь. В современном интернете на одном IP адресе может располагаться множество различных доменов. Поэтому hostname передается открытым текстом, до начала установления TLS сессии.
Схема работы SNI

image

Клиент берет публичный ключ сервера из DNS и шифрует им все данные до установления TLS сессии. ESNI шифрует и эту часть общения клиента с сервером.

Схема работы ESNI

image

Ложка дегтя

Настолько сильно что при текущей реализации DNS (plain text) поставить DPI на DNS протокол и блокировать все поля с публичными ключами серверов элементарно. ENSI сильно зависим от DNS. Судя по блогу разработчиков Хрома этот переход уже на горами. Эта проблема исправима только массовым переходом на DNSSEC или DNS over HTTPS.

Пока с поддержкой не очень. ESNI должен поддерживаться браузерами.

Что мы от этого получим?

Сейчас большинство блокировок происходит по DNS именам. Цензура в интернете сильно усложнится. Останутся только блокировки DNS запросов или IP адресов. Все эти блокировки перестанут работать.

И останется только одна возможность блокировать по IP адресам. Блокировки DNS запросов перестанут работать после включения по умолчанию DNS over HTTPS в стандартных браузерах. Можно блокировать или DNS сервера или неугодные сайты.

Одной блокировкой может зацепить множество непричастных доменов и нет адекватного способа проверить заранее кого именно зацепит. Блокировки по IP адресам это для очень смелых людей. Его пользователи даже ничего не заметят. А блокируемый сервис может в пару кликов, да и вообще автоматически, сменить адрес на не заблокированный.

Итого

Но не сейчас. Жизнь станет чуть-чуть лучше. До полноценной поддержки ESNI еще необходимо сделать несколько шагов.

Ссылки

3, ESNI и шифрование DNS можно тут. Проверить свой браузер на поддержку TLS 1.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть