Firefox 版本 118 引入了一项重要的安全增强机制,它就是 Encrypted Client Hello (ECH:加密客户端)。当年浏览网络,你的数据需要受到保护,因为网络上充满了偷窥的眼睛。许多在线沟通使用了一种叫做传输层安全(TLS)的安全协议,它通过加密你的数据保护安全。不过,有个问题。这种安全沟通要通过发起 “hello” 开始,又称“握手”。不幸的是,这种握手是公开的,它暴露了一些敏感信息,比如你要访问的网站。
ECH 针对的就是 TLS 协议中的这个弱点。如果使用 ECH,你发起的 “hello”信息是安全加密的。只有你要访问的网站可以解密。保证了信息全程私密。简单来说,ECH 像个守卫,它让人很难知道你要访问哪个网站,保护在线活动,增强隐私。
ECH 依靠 DNS over HTTPS (DoH) 才能工作,这是它获取加密密钥的方式。两者相加构成了更强壮的隐私壁垒,因为 DoH 专注于加密 DNS 请求,保护域名到 IP 之间的翻译;而 ECH 加密访问设备到网站之间的初始握手,保护沟通建立过程。
这种联合解决了孤立使用技术的弱点,确保全面的在线隐私。遵从 Mozilla 致力于打造隐私和安全的 Firefox 的初衷,ECH 默认启用并尽可能起作用。ECH 依赖通过 DoH 获取的 DNS 记录,所以你需要 启用。使用带有加密的 DNS 传输,比如 DoH,对浏览数据非常重要,它保护不像非加密的 DNS 协议那样容易泄露。
如果你使用了安全软件或者部署了企业环境的 Firefox,那么你无需更改配置。如果配置了任何 DoH opt-outs,那么 Firefox 都不会使用 ECH 加密数据。同样的,如果安全软件活企业环境配置 Firefox 使用透传代理,那么 ECH 也不会启用。
而且,你上网时,你的网络服务提供商(ISP)也可能会 搜集你上网的信息,比如使用深度包检查等入侵式手段。这时,ECH 就能改变一切。它阻止 ISPs 收集你的浏览信息,让他们无法未经允许为你画像并销售。因此有了 ECH,你的数据保有隐私,他们很难据此为你画像。
还有好处,如果你同时使用 ECH 和诸如 Mozilla VPN 这样的 VPN 服务,那么你的在线隐私就多了一重保护。VPN 是一个安全通道,隐藏你的身份,而 ECH 让初始 “hello” 信息免受网络监控。关于联合使用 VPN 和 Firefox ECH 的更多信息,请参看 Encrypted Client Hello (ECH)——常见问题。
更多
