Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Encrypted Client Hello и браузеры Google
Надо сказать, я несколько лет назад отмечал, что интересно будет посмотреть, внедрит ли Google поддержку ESNI в свой браузер. Интерес, на мой взгляд, тут происходил из того, что Google последовательно отказывался поддерживать такие технологии обеспечения безопасности, которые использовали тот или иной независимый инструмент управления криптографическими ключами в TLS. Примеров два: изгнание из веба DANE (отпечатки ключей/сертификатов в DNS, для сверки с предъявляемыми сервером) под предлогом замены на Certificate Transparency (которая хоть и полезная, но о другом, так как не может предотвратить использование валидного подменного сертификата в момент соединения); отключение HPKP (запоминание отпечатков серверных ключей клиентом, как в SSH).
И вот я предположил, что, вероятно, ESNI тоже не будет в Google Chrome. Но сейчас вышло иначе: вместо исходного варианта ESNI – Google Chrome (Chromium) всё же поддержал ECH, а это развитие ESNI, гораздо более продвинутое. Впрочем, думаю, что в этой “продвинутости” и состоит причина поддержки: всё же, ECH далеко ушла от первоначальной идеи ESNI – позволяет реализовать доступ к скрытым сервисам, при этом наследует доверие системе хорошо известных удостоверяющих центров (“имени CA/B-форума”); впрочем, ECH и ключи для дополнительной защиты внутри TLS позволяет публиковать, например, в DNS, то есть, не централизованным способом, который, формально, не зависит от браузера (но нельзя забывать о встроенной поддержке DNS-over-HTTPS с заданными провайдерами). В общем, поддержка внешних ключей появилась, но теперь нужно посмотреть, как будет она развиваться: ведь доверенные ключи для ECH могут приезжать и вместе с браузером – это важная особенность.
Адрес записки: https://dxdt.ru/2023/11/21/11624/
Похожие записки:
- Практикум: примеры с dig для DNSSEC и DNS
- Продолжение сегментации: Docker Hub
- Сайт OpenSSL и сегментация интернетов
- Удаление "неактивных" google-аккаунтов
- "Почти что коллизия" и хеш-функции
- "Блокирующие" источники случайности в операционных системах
- Браузер Chrome 122 и Kyber768
- Домены верхнего уровня, реестры и администраторы
- TLS и подмена сертификата на jabber.ru
- Ссылки: Telegram и его защищённость
- Британские заморские территории и домен IO
Комментарии читателей блога: 2
1 <t> // 21st November 2023, 22:10 // Читатель beldmit написал:
Отмазка от DANE у Google была другая. И у HPKP тоже есть проблемы IRL.
2 <t> // 21st November 2023, 23:25 // Александр Венедюхин:
Вот, кстати, в https://www.imperialviolet.org/2015/01/17/notdane.html – там, в контексте DANE, ещё про RSA в 1024 бита указано, однако и Certificate Transparency в причинах значится, но не в плане замены, да (про удаление HPKP там тоже есть).
Написать комментарий