ข่าวไอที Blognone » คนดูแลไฟร์วอลเตรียมตัว IETF 102 เริ่มทดสอบ ESNI เข้ารหัสหัว TLS ไม่ให้รู้ว่าเข้าเว็บอะไร

คนดูแลไฟร์วอลเตรียมตัว IETF 102 เริ่มทดสอบ ESNI เข้ารหัสหัว TLS ไม่ให้รู้ว่าเข้าเว็บอะไร

19 กรกฎาคม 2018
17   0

งานประชุม IETF 102 ปีนี้ กลุ่มวิศวกรจากแอปเปิล, มอซิลล่า, Fastly, Cloudflare ร่วมกันลองอิมพลีเมนต์ TLS ESNI ที่ยังเป็นร่างมาตรฐาน IETF อยู่ในตอนนี้ มาตรฐานนี้จะทำให้ผู้ให้บริการอินเทอร์เน็ตไม่รู้โดเมนที่ผู้ใช้กำลังเชื่อมต่ออยู่อีกต่อไป

การเข้ารหัส TLS ที่ใช้ใน HTTPS ทำให้ผู้ให้บริการอินเทอร์เน็ต และแฮกเกอร์ที่อาจจะคั่นกลางการเชื่อมต่อไม่รู้เนื้อหาภายใน แต่ TLS รุ่นใหม่ๆ จะส่งข้อมูล server name indication (SNI) เพื่อบอกว่าต้องการเชื่อมต่อกับโดเมนใด กระบวนการนี้ทำให้เว็บเซิร์ฟเวอร์สามารถแยกโดเมนสำหรับเชื่อมต่อได้ถูกต้อง แต่เนื่องจากข้อมูลนี้ไม่เข้ารหัส ผู้ให้บริการอินเทอร์เน็ตสามารถตรวจจับได้ว่าผู้ใช้กำลังเข้าเว็บใด และสามารถบล็อคเว็บเป็นรายโดเมนได้

ESNI จะเปิดให้เซิร์ฟเวอร์ส่ง public key ของเซิร์ฟเวอร์ไปยังไคลเอนต์ และไคลเอนต์จะเข้ารหัสโดเมนที่ต้องการแล้วแจ้งกลับมาในฟิลด์ encrypted_server_name ตัวเซิร์ฟเวอร์ที่อาจจะเป็น load balance สามารถถอดชื่อโดเมนออกมาแล้วส่งต่อไปให้เซิร์ฟเวอร์จริงต่อไป โดยกระบวนการส่งกุญแจสาธารณะ จะใช้โดเมน _esni ในฟิลด์ TXT เพื่อส่งกุญแจ

กระบวนการนี้ทำให้หากคิวรี DNS ด้วย DNS over HTTPS ที่เข้ารหัส ตัวกลางที่เชื่อมต่ออยู่ทั้งหมดก็จะไม่สามารถอ่านค่าโดเมนที่ผู้ใช้กำลังใช้งานได้ เหลือเพียงหมายเลขไอพีจำเป็นสำหรับการเชื่อมต่อเท่านั้น

ทาง Cloudflare ทดสอบ ESNI ไว้ที่ https://cloudflare-esni.com/ สามารถลองดูค่า TXT ของโดเมน _esni.cloudflare.com ได้ แม้จะเป็นร่างมาตรฐาน แต่ BoringSSL ของกูเกิล, NSS ของมอซิลล่า, และ picotls ก็รองรับร่างมาตรฐานนี้แล้ว

ที่มา - The Register

No Description

ภาพโดย geralt

[source: https://www.blognone.com/node/103986]