2023年3月12日星期日

SNI扩展 - ESNI 和 ECH

服务器名称指示SNI ) 是传输层安全 (TLS) 计算机网络协议的扩展,客户端通过协议在握手过程开始时指示它尝试连接的主机名。[1]这允许服务器在同一IP 地址TCP 端口号上提供多个可能的证书之一,因此允许多个安全 ( HTTPS ) 网站(或任何其他基于 TLS的服务)由同一 IP 地址提供服务,而无需所有这些站点都使用相同的证书。它在概念上等同于 HTTP/1.1 name-based虚拟主机,但用于 HTTPS。这也允许代理在 TLS/SSL 握手期间将客户端流量转发到正确的服务器。所需的主机名未在原始 SNI 扩展中加密,因此窃听者可以看到正在请求哪个站点。

背景

SNI 通过让客户端发送虚拟域的名称作为 TLS 协商的ClientHello消息的一部分来解决此问题。[3]这使服务器能够尽早选择正确的虚拟域,并向浏览器提供包含正确名称的证书。因此,对于实现 SNI 的客户端和服务器,具有单个 IP 地址的服务器可以为一组域名提供服务,而这些域名无法获得通用证书。

2003 年 6 月,通过 RFC 3546,传输层安全 (TLS) 扩展, SNI 被添加到IETF互联网 RFC中。该标准的最新版本是 RFC 6066。


隐患

服务器名称指示负载未加密,因此客户端尝试连接的服务器的主机名对被动窃听者可见。安全软件利用此协议弱点进行网络过滤和监控[4] [5] [6]以及政府实施审查。[7]目前,有多种技术试图隐藏服务器名称指示。


ECH - 加密客户端 Hello 

Encrypted Client Hello ( ECH ) 是 TLS 1.3 协议扩展,可以对在 TLS 1.3 协商的早期发送的整个 Client Hello 消息进行加密。ECH 使用依赖方(Web 浏览器)需要事先知道的公钥对有效负载进行加密,这意味着 ECH对于浏览器供应商事先已知的 大型CDN最有效。

此扩展的初始 2018 版本称为加密 SNI ( ESNI ) [10],其实现以"实验性"方式推出,以解决域窃听的风险。[11] [12] [13] Firefox 85 移除了对 ESNI 的支持。[14]与 ECH 相比,加密 SNI 仅加密 SNI 而不是整个 Client Hello。[15] 2018 年 10 月[16] Firefox 纳入了对该版本的选择支持,并且需要启用 DNS-over-HTTPS。[17]

2020 年 3 月,经过分析证明仅加密 SNI 是不够的,ESNI 被重新设计为 ECH 扩展。例如,规范允许预共享密钥扩展包含任何数据以促进会话恢复,甚至传输由 ESNI 加密的与服务器名称完全相同的明文副本。此外,逐一加密扩展将需要每个扩展的加密变体,每个都有潜在的隐私隐患,甚至会暴露所宣传的扩展集。最后,ESNI 的实际部署暴露了互操作性限制。[18] 2020年3月简称ECHO [15] 2020年5月改为ECH [19]

ESNI 和 ECH 仅与 TLS 1.3 兼容,因为它们依赖于 TLS 1.3 中首次定义的 KeyShareEntry。[20] [21]此外,要使用 ECH,客户端不得提议低于 1.3 的 TLS 版本。[22]

2020 年 8 月,中国防火墙开始阻止 ESNI 流量,同时仍允许 ECH 流量。[23]

2020 年 10 月,俄罗斯 ISP Rostelecom及其移动运营商Tele2开始阻止 ESNI 流量。[24]同年9月,俄罗斯审查部Roscomnadzor计划禁止一系列加密协议,其中包括阻碍网站访问审查的TLS 1.3和ESNI。[25] [26] [27]


链接

  • RFC  6066(废弃RFC  4366,后者废弃RFC  3546

没有评论:

发表评论

供稿人

标签

Google (6) 船坚炮利 (5) Blogger (4) GHS (3) Salesforce (3) C.M.O. (2) GFW (2) Google Analytics (2) Google Apps (2) PR (2) Twitter (2) baidu (2) dns.com.cn (2) keso (2) kylin (2) python (2) 中国 (2) 新互 (2) .ru (1) 10-08-23 (1) 1960 (1) 2008 (1) 2012 (1) 3g (1) 404 (1) 502 (1) 71-81 (1) AFE (1) Adobe开源 (1) Banned (1) Basic English (1) Blogspot (1) CPI (1) CUIL (1) Character Entities (1) Checkout (1) Cloud Computing (1) D-Dos (1) Delphic oracle (1) Domain (1) Essential English (1) FRID (1) FTP (1) FeedBuner (1) Flash (1) Flex+Firefox (1) Flickr (1) Foolish Games (1) Force.com (1) GMAIL (1) Gmail Offline (1) Googe Site (1) Google Docs (1) Google Spreadsheet (1) IBM (1) IE+SilverLight (1) IPV9 (1) Jewel (1) Open Social (1) OpenID (1) PageRank (1) PigeonRank (1) QQ,IP隐私 (1) Redirect (1) Rich Memdia (1) SFTP (1) Secularism (1) Simplified Technical English (1) Sitemap (1) Spam (1) Special English (1) TV (1) Tracker (1) UI (1) aa (1) addOrganic (1) beyond (1) blog (1) blogbus (1) com (1) cyberWar (1) daas (1) dnspod (1) draft (1) earthquake (1) ebank (1) event track (1) fisher (1) git (1) google_prc (1) huang qi (1) iamfisher (1) iamfisher.net (1) ipai (1) linkedin (1) mayumusic (1) netsh (1) ning (1) paas (1) pk (1) planet-lab (1) ppc (1) qunar (1) roscosmos (1) saas (1) sars (1) serp (1) sohu (1) urchin (1) wealink (1) web analytics (1) wiki (1) zh_CN (1) 一本万利 (1) 三峡 (1) 上海人 (1) 下雨 (1) 世俗 (1) 世纪墙 (1) 中化网 (1) 中印 (1) 中欧 (1) 临终一课 (1) 乡下人 (1) 云之南 (1) 云计算 (1) 井真成 (1) 亨廷顿 (1) 人寿 (1) 人际 (1) 代价 (1) 传统 (1) 低腰裤 (1) 佛教 (1) 依赖症 (1) 偷懒 (1) 傲慢 (1) 儿时梦想 (1) 先进 (1) 公共品 (1) 六六 (1) 养廉 (1) 再融资 (1) 凤凰卫视 (1) 出版 (1) 刘仰 (1) 创新 (1) 删IE8 (1) 判例法 (1) 制高点 (1) 剩者为王 (1) 剽窃 (1) 北极 (1) 博客 (1) 危害健康 (1) 厚黑 (1) 原创 (1) 去哪儿 (1) 双面胶 (1) 发展 (1) 变暖 (1) 司法解释 (1) 合法外衣 (1) 吉尼斯 (1) 品牌 (1) 唐老鸭 (1) 嘿嘿 (1) 噩梦 (1) 国务院 (1) 土鳖 (1) 坚船利炮 (1) 域名被锁定 (1) 域名诉讼 (1) 基因 (1) 墓志铭 (1) 壳牌 (1) 奥运 (1) 妓女 (1) 威权 (1) 媒体 (1) 孙德良 (1) 孩子 (1) 定罪 (1) 宝洁 (1) 宣传 (1) 家庭税负不高 (1) 寻找好友 (1) 崩溃 (1) 巫咸 (1) 年代 (1) 开封犹太人 (1) 开放 (1) 张掖 (1) 弥勒 (1) 强烈 (1) 彩信 (1) 征召 (1) 很开放 (1) 很被守法 (1) 徐荣祥 (1) 微博 (1) 微软 (1) 微软收购雅虎 (1) 急死你 (1) 愚蠢 (1) 愤怒 (1) 愿望 (1) 我很抱歉 (1) 手机 (1) 执着 (1) 改版 (1) 改进 (1) 散乱 (1) 敦煌 (1) 文化入侵 (1) 文核 (1) 新加坡 (1) 方舟子 (1) 无标题 (1) 无语 (1) 日历 (1) 早报 (1) 暴力拆迁 (1) 最在邊外 (1) 月映天江 (1) 有趣 (1) 有限公司 (1) 朝贡 (1) 杀伐决断 (1) 标题党 (1) 梁山强盗 (1) 武威 (1) 比基尼 (1) 民族主义 (1) 水师 (1) 江姐 (1) 沉迷 (1) 泡沫 (1) 洁空 (1) 洋品牌 (1) 海归 (1) 海禁 (1) 海航 (1) 消费升级 (1) 温室 (1) 滕鸡 (1) 点出统计 (1) (1) 物权 (1) 犹豫 (1) 狗屁CPI指数 (1) 独角兽 (1) 玄幻 (1) 王彩玲 (1) 用Firefox (1) 电脑 (1) (1) 瘦身 (1) 百年积弱 (1) 知识产权 (1) 码字 (1) 砖窑 (1) 破坏力 (1) 硬道理 (1) 礼仪 (1) 祝福北京奥运 (1) 禽流感 (1) 科学网 (1) 稳定压倒一切 (1) 空降 (1) 穿越 (1) 童奴 (1) 第二人生 (1) 繁荣 (1) 红土高原 (1) 织壮锦 (1) 终身教授 (1) 统一 (1) 绿色 (1) 缓刑 (1) 缘起 (1) 缙云山 (1) 缺乏自信 (1) 网摘 (1) 网易新闻评论 (1) 网瘾症 (1) 网盛科技 (1) 网站分析在中国 (1) 网络游戏 (1) 网络犯罪 (1) 网鸟 (1) 美孚 (1) 老外 (1) 职业打假 (1) 联手制造 (1) 自卑感 (1) 自定义域名绑定 (1) 船坚器利 (1) 芙蓉姐姐 (1) 苏北人 (1) 草稿帖 (1) 草药 (1) 蒋雯丽 (1) 薄纳厚赠 (1) 虚拟财产 (1) 被误解 (1) 装傻 (1) 西南 (1) 论坛 (1) 谶语 (1) 货币 (1) 贴标签 (1) 赤蛇 (1) 转基因 (1) 软件C2C (1) 迁海令 (1) 过度依赖 (1) 进口关税 (1) 迪斯尼 (1) 道德传统 (1) 道德缺陷 (1) 道长 (1) 邓公 (1) 酒泉 (1) 金融时报 (1) 长短 (1) 闲逛 (1) 闹晕 (1) 闹晕经济 (1) 阿里软件 (1) 难过 (1) 青蛇 (1) 非洲 (1) 风力 (1) 食品 (1) 首席营销官 (1) 高鑫养廉 (1) 鸦片战争史 (1) 黄芪 (1) 龙象 (1)