Зміст
- 1 Що таке Encrypted Client Hello (ECH) та чому ця технологія важлива?
- 2 Як увімкнути ECH у Firefox?
- 3 Як дізнатися, чи доступна мені функція ECH?
- 4 Чи знижує ECH швидкість доступу до Інтернету?
- 5 Чи погіршує ECH сумісність із вебсайтами?
- 6 Чи можна використовувати ECH разом з іншими засобами безпеки, такими як блокувальники реклами?
- 7 Чи можна використовувати ECH разом з іншими засобами безпеки, такими як VPN?
- 8 Чи існують будь-які проблеми чи недоліки в плані конфіденційності, пов'язані з ECH?
- 9 Чи помітять користувачі будь-які зміни в роботі внаслідок такого шифрування?
- 10 Який вплив матиме ECH на батьківський контроль?
- 11 Який вплив ECH матиме на підприємства, які користуються прозорими проксі?
- 12 Який ECH взаємодіє з винятками DoH?
- 13 Які вебсайти можуть використовувати ECH?
- 14 Чому користувачі не можуть керувати ECH напряму?
- 15 Чи можна використовувати ECH з будь-яким постачальником DoH?
- 16 Чи можна користуватися ECH без DoH?
- 17 Чому ECH залежить від DoH?
- 18 Як дізнатися, чи працює в мене функція ECH?
Що таке Encrypted Client Hello (ECH) та чому ця технологія важлива?
ECH — це функція безпеки, доступна в Firefox та інших провідних веббраузерах, яка усуває вразливість у наявній інфраструктурі конфіденційності та безпеки в Інтернеті. Ця вразливість дозволяє третім сторонам у мережі, наприклад, інтернет-провайдерам або іншим небажаним сторонам, доступ до вебсайтів, які відвідує користувач.
Як увімкнути ECH у Firefox?
Щоб увімкнути ECH у Firefox, оновіть браузер до версії 118 або новіше та активуйте протокол DNS через HTTPS.
Як дізнатися, чи доступна мені функція ECH?
Наразі функція ECH доступна в Firefox за замовчанням, проте вмикається лише при використанні протоколу DoH. Докладніше про впровадження DoH.
Чи знижує ECH швидкість доступу до Інтернету?
Ні. ECH вимагає завантаження дуже малого додаткового об'єму даних при підключенні до вебсайту. Ці дані мають об'єм лише декілька сотень байтів, цього замало для впливу на швидкість доступу до Інтернету. Аби запобігти додатковим затримкам при підключенні до вебсайту, Firefox отримує ці дані водночас із пошуком DNS.
Чи погіршує ECH сумісність із вебсайтами?
Функцію ECH спеціально розроблено для правильної роботи з існуючими вебсайтами та серверами. За поточними стандартами сервери мають ігнорувати функцію ECH, якщо вони її не підтримують, та Firefox підтримуватиме з'єднання для перегляду сайтів без перешкод. Ми провели багато досліджень та випробувань для забезпечення належної роботи вебсайтів.
Чи можна використовувати ECH разом з іншими засобами безпеки, такими як блокувальники реклами?
Так, ECH можна використовувати разом із блокувальниками реклами. Блокувальники реклами, які інтегруються в Firefox у вигляді розширень, працюють з ECH автоматично та не потребують ніяких змін. Проте при використанні фільтрації на основі DNS для користування ECH може знадобитися внести зміни до конфігурації. Для використання ECH треба налаштувати Firefox на використання сервера DNS-over-HTTPS. Залежно від того, чи знаходиться фільтр DNS на локальному пристрої або в онлайн-провайдера, вказівки щодо підключення до нього через DoH будуть різні. Користувачі цих послуг мають звернутися до відповідної документації.
Чи можна використовувати ECH разом з іншими засобами безпеки, такими як VPN?
Так, насправді, поєднання ECH з VPN може забезпечити додатковий рівень конфіденційності та безпеки. Для використання ECH з VPN, рівень захисту DNS over HTTPS має бути Configure DNS over HTTPS protection levels in Firefox на «Підвищений» або «Максимальний захист». Це тому, що режим «Захист за замовчуванням» використовує DNS постачальника VPN, а не DoH, щоб забезпечити правильну маршрутизацію трафіку. Зверніть увагу, що при використанні VPN в корпоративному або власному середовищі для підключення до ресурсів, що недоступні в публічному Інтернеті, зміна рівня захисту DNS може зробити ці приватні ресурси недоступними в Firefox.
Чи існують будь-які проблеми чи недоліки в плані конфіденційності, пов'язані з ECH?
EECH — це важливий засіб для зміцнення конфіденційності та безпеки, оскільки він шифрує первинні підключення до вебсайтів. Проте треба зауважити, що багато вебсайтів наразі не підтримують ECH, що означає, що підключення до таких сайтів не має додаткової конфіденційності, яку надає ECH. Для забезпечення захисту треба оновлювати браузер Firefox до поточної версії для отримання оновлень безпеки, у тому числі ECH. На відміну від таких технологій як VPN, ECH не перенаправляє трафік браузера та не долучає треті сторони. Ця технологія просто додає додатковий ступень шифрування до стандартних підключень.
Чи помітять користувачі будь-які зміни в роботі внаслідок такого шифрування?
Користувачі Firefox навряд чи помітять значну різницю під час звичайної роботи.
Який вплив матиме ECH на батьківський контроль?
При використанні батьківського контролю шифрування ECH вимикається для запобігання конфлікту із засобами контролю.
Який вплив ECH матиме на підприємства, які користуються прозорими проксі?
Шифрування ECH автоматично вимикається при виявленні довірених прозорих проксі, тож впливу на їхню роботу немає.
Який ECH взаємодіє з винятками DoH?
Винятки DoH вимикають шифрування ECH у Firefox.
Які вебсайти можуть використовувати ECH?
Будь-який вебсайт може використовувати ECH, якщо це підтримує його сервер. Часто оптимальний рівень конфіденційності забезпечується, коли на одному вебсервері працює декілька вебсайтів, що часто має місце у сучасній екосистемі Інтернету.
Чому користувачі не можуть керувати ECH напряму?
Згідно з нашими зобов'язаннями в плані конфіденційності та безпеки за замовчанням ми намагаємося забезпечити Firefox комплексом засобів захисту, ввімкнених за замовчанням. Наразі функція ECH увімкнена за замовчанням, але не використовується, якщо працюють засоби батьківського контролю або Firefox використовується на підприємстві. Це подібне до інших технологій конфіденційності та безпеки в Firefox, таких як TLS 1.3, що теж не вказується в налаштуваннях користувача.
Чи можна використовувати ECH з будь-яким постачальником DoH?
Так! Для отримання записів ECH можна використовувати будь-які сервери DoH, локальні чи в Інтернеті.
Чи можна користуватися ECH без DoH?
Наразі користуватися ECH без DoH у Firefox неможливо. Робота ECH залежить від DoH, оскільки ця служба шифрує первинне підключення до вебсайту за допомогою ключів шифрування, наданих службою DNS-через-HTTPS. Тож для використання ECH у Firefox необхідно також увімкнути DoH.
Зауважте, що без використання DoH у Firefox запити DNS у локальній мережі не шифруються та можуть контролюватися засобами Інтернету речей (IoT). При використанні локального серверу DNS можна самостійно надавати послугу DNS-через-HTTPS (DoH), що забезпечить шифрування трафіку DNS у локальній мережі.
Чому ECH залежить від DoH?
Робота ECH залежить від нового типу запису DNS під назвою «Ресурсний запис HTTPS», у якому описується спосіб використання ECH для підключення до вебсайту. Для забезпечення конфіденційності за допомогою ECH ці записи необхідно завантажувати за допомогою зашифрованого підключення, тож Firefox використовує для цього DoH.
Ми знаємо, що деякі досвідчені користувачі розміщають власні перетворювачі DNS локально. Для таких випадків рекомендується самостійно розвернути сервер DoH та налаштувати Firefox на його використання. Це забезпечить шифрування локального трафіку DNS між вашим клієнтом та вашим сервером та завадить іншим пристроям у локальній мережі слідкувати за підключенням.
При покращенні підтримки DoH та інших засобів шифрованого зв'язку з DNS з боку операційних систем ми будемо досліджувати можливості долучення цих записів до Firefox.
Як дізнатися, чи працює в мене функція ECH?
Функція ECH не відображається в інтерфейсі браузера, проте її функціонування можна перевірити за допомогою Cloudflare’s Browser Security Check.
вивчайте більше
