Разработчики из разных компаний объединили усилия, чтобы создать новый стандарт передачи имени хоста.
Команда программистов Apple, Mozilla, Cloudflare и Fastly разработала новый механизм передачи идентификатора хоста через HTTPS. Это произошло в ходе хакатона, состоявшегося на 102-м Инженерном совете Интернета (IETF) 14–15 июля в Монреале. Специалисты создали Encrypted Server Name Indication (ESNI) — зашифрованный вариант TSL-расширения, содержащего имя веб-ресурса.
Для установки защищенного соединения клиент должен обменяться с сервером сообщениями определенного формата — приветствиями. Если на одном IP-адресе располагается несколько HTTPS-сайтов, то такой пакет содержит имя хоста в незашифрованном виде. Это дает возможность сторонним наблюдателям получать информацию о соединении, а провайдерам — фильтровать трафик.
Проблема существует около десяти лет. Для обхода этой уязвимости некоторые CDN-сети использовали технологию Domain Fronting. Этот метод использует ложное имя хоста для идентификации пакета, а название реального домена размещается уже в зашифрованном заголовке TLS-сеанса. Один из недостатков этого способа — возможность маскировки нелегального трафика внутри таких блоков данных.
В рамках очередной сессии хакатона сборная команда инженеров четырех компаний предложила решение проблемы и даже представила два тестовых сайта, использующих ESNI. Работы над новой технологией велись и до этого, однако на саммите IETF специалисты впервые сумели довести проект до стадии действующего прототипа. Теперь идентификатор хоста передается в зашифрованном виде, а для его декодирования необходимо знать пару закрытых ключей со стороны клиента и сервера.
Бета-версия ESNI уже поддерживается библиотеками браузера Firefox, а также движком Chromium, на котором работают Opera, Яндекс.Браузер и другие интернет-обозреватели.
Хакатоны предоставляют возможность совместной работы специалистов из разных компаний и областей программирования. Обычно в рамках интенсивной сессии группа фокусируется на решении одной проблемы.
Надежность технологии ESNI можно увеличить, скрыв обращения к DNS-серверу в процессе обмена ключами. Один из разработчиков нового стандарта — компания Cloudflare — в апреле представила общедоступный сервис для шифрования подобных запросов. Система позволяет использовать защищенные каналы DNS-over-TLS и DNS-over-HTTPS для предотвращения атак типа “человек посередине”.