Команда программистов Apple, Mozilla, Cloudflare и Fastly разработала новый механизм передачи идентификатора хоста через HTTPS. Это произошло в ходе хакатона, состоявшегося на 102-м Инженерном совете Интернета (IETF) 14–15 июля в Монреале. Специалисты создали Encrypted Server Name Indication (ESNI) — зашифрованный вариант TSL-расширения, содержащего имя веб-ресурса.

Для установки защищенного соединения клиент должен обменяться с сервером сообщениями определенного формата — приветствиями. Если на одном IP-адресе располагается несколько HTTPS-сайтов, то такой пакет содержит имя хоста в незашифрованном виде. Это дает возможность сторонним наблюдателям получать информацию о соединении, а провайдерам — фильтровать трафик.

Проблема существует около десяти лет. Для обхода этой уязвимости некоторые CDN-сети использовали технологию Domain Fronting. Этот метод использует ложное имя хоста для идентификации пакета, а название реального домена размещается уже в зашифрованном заголовке TLS-сеанса. Один из недостатков этого способа — возможность маскировки нелегального трафика внутри таких блоков данных.

В рамках очередной сессии хакатона сборная команда инженеров четырех компаний предложила решение проблемы и даже представила два тестовых сайта, использующих ESNI. Работы над новой технологией велись и до этого, однако на саммите IETF специалисты впервые сумели довести проект до стадии действующего прототипа. Теперь идентификатор хоста передается в зашифрованном виде, а для его декодирования необходимо знать пару закрытых ключей со стороны клиента и сервера.

Бета-версия ESNI уже поддерживается библиотеками браузера Firefox, а также движком Chromium, на котором работают Opera, Яндекс.Браузер и другие интернет-обозреватели.

Хакатоны предоставляют возможность совместной работы специалистов из разных компаний и областей программирования. Обычно в рамках интенсивной сессии группа фокусируется на решении одной проблемы.

Надежность технологии ESNI можно увеличить, скрыв обращения к DNS-серверу в процессе обмена ключами. Один из разработчиков нового стандарта — компания Cloudflare — в апреле представила общедоступный сервис для шифрования подобных запросов. Система позволяет использовать защищенные каналы DNS-over-TLS и DNS-over-HTTPS для предотвращения атак типа «человек посередине».

Категории: Главное, Кибероборона