C 85-й версии начиная браузер Firefox технологию защиты от перехватов ESNI (Encrypted Server Name Indication) официально больше не поддерживает. Вместо неё теперь — ECH или Encrypted Client Hello.
Как отмечает сам разработчик, новое TLS-расширение ECH изначально разрабатывалось с учетом всех выявленных недостатков ESNI.
В частности, говорится в публикации Mozilla Security Blog, «ESNI не обеспечивает полную защиту данных и имеет проблемы со взаимодействием и развертыванием, которые не позволяют использовать эту технологию более широко«.
В этой связи и было принято решение отказаться от поддержки ESNI в Firefox 85 в пользу ECH.
Не пропустите: Как убрать поисковые предложения из адресной строки Firefox
как включить поддержку ECH в браузере Firefox
Делается это стандартно, через включение соответствующей опции в разделе экспериментальных настроек браузера. А именно:
- в адресной строке пишем about:config и жмем Enter;
- через поиск в разделе находим опцию network.dns.echconfig.enabled и двойным кликом по строке устанавливаем для неё значение TRUE;
- далее точно так же находим опцию network.dns.use_https_rr_as_altsvc и тоже ставим для неё значение TRUE;
- перезапускаем Firefox.
Но есть проблема: Encrypted Client Hello без своего сервера не работает
Тест Cloudflare показывает, в настоящее время браузер Server Name Indication не шифрует, даже если функция шифрования включена. Дело в том, что Cloudflare, как провайдер данного сервиса, эту технологию сам еще не включил.
Следовательно, с точки зрения конечного пользователя Firefox, ситуация получается не совсем правильная. Firefox после 85-й версии ESNI уже не поддерживает, а Encrypted Client Hello хоть и поддерживает, но по факту чисто формально. О чем юзеры сейчас активно пишут службе поддержки браузера.
На что саппорт Mozilla пока только рекомендует пользователям временно перейти на Firefox ESR, в котором поддержка ESNI еще не отключена. И вот пока так, что называется, до выяснения…
Ситуация и вправду странная: понятно, что в Mozilla поспешили, а в Cloudflare пока не торопятся. И, к слову, по некоторым данным, в Cloudflare считают, что спецификация ECH ещё не достигла должной «степени готовности», но работы ведутся…
Напомним, компания Cloudflare является крупнейшим и провайдером онлайн-доступа, который поддерживает ESNI, и пока единственным, который обеспечивает глобальную её поддержку.