Das standardisierte verschlüsselte SNI ist in Firefox Nightly implementiert

    Firefox war der erste Browser, der die Verschlüsselung von TLS Server Name Indication (SNI) implementierte . Unterstützung ESNI implementiert in der neuesten Version von Firefox Nightly, die in allen Neuerungen laufen , bevor sie in die Hauptlinie hinzugefügt werden.

    Die Bedeutung dieser Norm, vor einem Monat, sagte CDN-Anbieter Cloudflare. Dank ESNI werden die Informationen, an welche Domäne Sie die Anfrage senden, verschlüsselt. Bei Standard-HTTPS werden Header mit Domainnamen nicht verschlüsselt und können vom Provider oder einer anderen Person in der Mitte angezeigt werden. Jetzt sieht er nur noch die IP-Adresse. Da sich im modernen Internet Hunderte von Domänen auf derselben IP-Adresse befinden können, verbirgt ESNI die Informationen darüber, welche Domäne der Benutzer eingibt.

    Das Blockieren mit Namen funktioniert daher nicht mehr und die Zensur im Internet wird viel komplizierter. Zensoren müssen IP-Adressen sperren. Dies ist eine zweifelhafte Praxis. Eine solche Blockierung kann sich auf unkomplizierte Sites auswirken, und der blockierte Dienst wechselt leicht (automatisch) zu einer anderen IP-Adresse.

    Warum leuchten Host-Namen in normalem TLS-SNI? Tatsache ist, dass der Server vor dem Start der Verschlüsselung wissen muss, auf welche Domäne der Client zugreift, um das erforderliche Zertifikat vorzulegen. Aus diesem Grund steht der Hostname in Klartext (unter der Abbildung aus dem Cloudflare-Blog ).



    In verschlüsselten SNI (ESNI) wird dieses Problem folgendermaßen gelöst: Der Client entnimmt den öffentlichen Schlüssel des Servers vom DNS und verschlüsselt alle Daten damit, bevor eine TLS-Sitzung eingerichtet wird.


    Browser-Unterstützung für Firefox Nightly bedeutet, dass ESNI mit allen Websites / Anbietern zusammenarbeitet, die dies unterstützen.

    Mozilla-Entwickler erklären, dass es vier Hauptwege gibt, die Historie der besuchten Seiten zu durchlaufen:

    1. TLS-Zertifikatnachricht
    2. DNS-Namensauflösung
    3. Server-IP-Adresse
    4. Anzeige des TLS-Servernamens.

    Beim Schließen der ersten beiden Leak-Kanäle sind sie bislang gut vorangekommen: Der neue Standard TLS 1.3 verschlüsselt das Standardzertifikat des Servers (Kanal 1). In den letzten Monaten hat Mozilla die Verwendung von DNS über HTTPS zum Schutz des DNS-Verkehrs (Kanal 2) untersucht. Die Testergebnisse sind nicht schlecht und in den kommenden Monaten wird die Funktion für alle Firefox-Benutzer eingeführt. Die IP-Adresse bleibt ein Problem, aber in vielen Fällen teilen sich mehrere Standorte dieselbe IP-Adresse, daher ist SNI der Hauptleckkanal.

    Zu einer Zeit begann man, die SNI-Technologie (Server Name Indication) einzusetzen, weil sich mehrere Hosts auf derselben IP-Adresse befinden. In diesem Fall teilt das SNI-Feld dem Server mit, zu welchem ​​Host Sie eine Verbindung herstellen möchten, wodurch er das richtige Zertifikat auswählen kann. Mit anderen Worten, SNI trägt dazu bei, den Betrieb von TLS-Hosting in großem Maßstab sicherzustellen. Das heißt, diese Funktion wurde aus Sicherheitsgründen eingeführt, und nun müssen wir sie als Datenleckagekanal behandeln.

    Das SNI-Problem ist seit langem bekannt, schreiben die Mozilla-Entwickler, und es war klar, dass dieses Feld verschlüsselt werden sollte. Aber jedes Design, das sie ausprobierten, beinhaltete einen Kompromiss in der Leistung. Es gab noch einen weiteren wichtigen Nachteil: Die Tatsache, dass ein bestimmter Standort zu ESNI wechselt, war ein Signal, dass „etwas zu verbergen ist“, das heißt, die Zensoren hatten die Möglichkeit, den Verkehr von ESNI in Schach zu halten. Am Ende wurde beschlossen, den TLS 1.3-Standard ohne ESNI zu veröffentlichen.

    Erst Anfang 2018 erkannten die Entwickler, dass es eine ziemlich gute Option gibt: Große Content Distribution Networks (CDN) hosten viele Standorte auf denselben physischen Servern. Wenn sie damit einverstanden sind, alles auf einmal an ESNI zu übertragenClients, dann ist ESNI plötzlich kein nützliches Signal für den Angreifer. So wurde es möglich, ESNI in TLS 1.3 zu implementieren, indem eine Vielzahl von Standorten auf den vorhandenen Servern eingerichtet wurde.

    ESNI ist eine völlig neue Technologie, und Firefox ist der erste Browser, der sie implementiert. Um es in Firefox Nightly zu aktivieren, sollten Sie die folgenden Aktionen ausführen:

    1. Stellen Sie sicher, dass Sie DNS über https (DoH) aktiviert haben:
      • about:config
      • eingestellt network.trr.modeauf den Wert 2

      • setzen Sie network.trr.uriDoH auf den Server (zum Beispiel https://mozilla.cloudflare-dns.com/dns-query).

      • about:config
      • eingestellt network.security.esni.enabledauf einen Werttrue


    Dadurch sollte ESNI automatisch für jede Site aktiviert werden, die dies unterstützt. Momentan ist dies von den großen Hostern und CDNs nur Cloudflare, aber die Firefox-Entwickler hoffen, dass bald weitere Anbieter angeschlossen werden. Überprüfen Sie, ob die Verschlüsselung auf diesen Link angewendet werden kann .



    In den kommenden Monaten wird Mozilla prüfen, wie ESNI mit verschiedenen Firewalls und anderen Netzwerkgeräten interagiert. Wenn Sie die Verschlüsselung aktiviert haben und etwas defekt ist, informieren Sie die Entwickler bitte über einen Bug-Tracker.




    Jetzt auch beliebt: