«Хватит за нами подглядывать». В сети предложили способ скрыть от провайдера название сайтов, на которые вы заходите
NewsMakerРазбираемся, почему это решение станет кошмаром для сторонников цензуры.
В интернете появилась ещё одна попытка скрыть лишние детали о том, куда именно подключается пользователь. Новый стандарт от инженерного сообщества предлагает закрыть один из последних «прозрачных» элементов в защищённых соединениях — и тем самым усложнить жизнь тем, кто следит за сетевым трафиком.
Internet Engineering Task Force опубликовала документ RFC 9849, который описывает механизм Encrypted Client Hello. Речь идёт о расширении протокола TLS, позволяющем шифровать начальное сообщение клиента при установке соединения с сервером.
Даже в версии TLS 1.3 часть данных до сих пор передаётся в открытом виде. Самый чувствительный элемент — поле SNI , где указывается домен, к которому подключается клиент. Наблюдатель в сети может увидеть этот домен, даже если остальной трафик зашифрован. Новый механизм устраняет именно эту утечку.
Суть подхода сводится к разделению начального сообщения на две части. Внешняя часть выглядит как обычный запрос и не содержит чувствительных данных. Внутренняя часть включает реальную информацию — например, целевой домен — и передаётся уже в зашифрованном виде. Сервер, обладающий нужным ключом, расшифровывает её и продолжает соединение.
В интернете появилась ещё одна попытка скрыть лишние детали о том, куда именно подключается пользователь. Новый стандарт от инженерного сообщества предлагает закрыть один из последних «прозрачных» элементов в защищённых соединениях — и тем самым усложнить жизнь тем, кто следит за сетевым трафиком.
Internet Engineering Task Force опубликовала документ RFC 9849, который описывает механизм Encrypted Client Hello. Речь идёт о расширении протокола TLS, позволяющем шифровать начальное сообщение клиента при установке соединения с сервером.
Даже в версии TLS 1.3 часть данных до сих пор передаётся в открытом виде. Самый чувствительный элемент — поле SNI , где указывается домен, к которому подключается клиент. Наблюдатель в сети может увидеть этот домен, даже если остальной трафик зашифрован. Новый механизм устраняет именно эту утечку.
Суть подхода сводится к разделению начального сообщения на две части. Внешняя часть выглядит как обычный запрос и не содержит чувствительных данных. Внутренняя часть включает реальную информацию — например, целевой домен — и передаётся уже в зашифрованном виде. Сервер, обладающий нужным ключом, расшифровывает её и продолжает соединение.