Cloudflare теперь предлагает лучшую конфиденциальность с помощью SNI-шифрования во время переговоров TLS

26 Sep

Cloudflare теперь будет поддерживать «Encrypted Server Name Indicication», чтобы пользователи стали более безопасными. С помощью этого механизма будет сложно отслеживать действия пользователей. Один веб-сервер может размещать так много веб-сайтов, и все они имеют один и тот же внешний IP-адрес. Ресурсы разделены количеством нескольких доменов. Это называется Виртуальный хостинг. «Идентификация имени сервера» является частью протокола TLS, который используется сервером для предоставления разных сертификатов TLS. Он разрешает и защищает подключение к веб-сайтам за одним и тем же IP-адресом. Программа с поддержкой SNI содержит имя хоста, которое должно быть достигнуто. Это происходит в начале связи с Сервером. Этот начальный разговор в процессе переговоров TSL происходит открыто, и он подвергается каждому узлу на этом пути. Таким образом, внешний наблюдатель может отслеживать пользователя и может влиять на соединение с сайтами, которые он не сочувствует.

Обозначение имени зашифрованного сервера

С зашифрованной «индикацией имени сервера» нет риска утечки имени адресата. В настоящее время зашифрованный SNI (ESNI) находится на ранней стадии, и в настоящее время он доступен как экспериментальный проект. Протокол TSL версии 1.3 и выше поддерживает выпуск сертификата веб-сайта через зашифрованную часть рукопожатия TSL. Сервер выдает открытый ключ в записи DNS (Domain Name System), который можно увидеть клиенту до установления соединения. Клиент шифрует SNI для защищенного транзита и затем расшифровывает его в пункте назначения.

Уход за уязвимыми концами

Это правда, что ESNI защищает клиентское назначение, однако DNS-запросы для IP-адреса веб-сайта имеют простой текст и могут быть прослежены и видимы по сети. Поэтому, чтобы устранить проблему, Cloudflare поддерживает DNS для TLS (DoT) и DNS через HTTPS (DoH) и использует его со своей собственной службой разрешения DNS. Таким образом, DNS-запросы будут защищены от сторонних пользователей с помощью шифрования. Поддержка DNSSEC защищает повреждение кеша, тщательно проверяя реакцию между Cloudflare авторитетным суровым и его резольвером.

Leave a Reply