Протокол ECH в браузере

Chrome продолжает развивать свои механизмы безопасности, и одной из последних технологий, привлекающих внимание, стал протокол Encrypted Client Hello (ECH). Этот протокол, ранее известный как ESNI (Encrypted Server Name Indication), направлен на усиление конфиденциальности при установке HTTPS-соединений.

Зачем нужен ECH?

При установке TLS-соединения (основного протокола для обеспечения защищенных соединений в интернете) браузер отправляет сообщение Server Name Indication (SNI). Оно содержит имя домена, к которому идет запрос, и передается в открытом виде, что позволяет посторонним (например, провайдерам) видеть, к какому сайту подключается пользователь, даже если само соединение зашифровано. Именно таким образом происходит замедление Youtube.

ECH решает эту проблему, шифруя не только содержимое соединения, но и само сообщение Client Hello, которое включает в себя SNI. Это затрудняет наблюдение за трафиком и помогает защитить приватность пользователя в сети.

Как работает ECH?

Протокол ECH добавляет дополнительный этап шифрования на ранней стадии установки TLS. Когда браузер поддерживает ECH, он использует публичный ключ, предоставленный сервером через DNS, чтобы зашифровать свой «Client Hello». Сервер, получивший этот запрос, может расшифровать его с помощью своего приватного ключа и продолжить установку защищенного соединения, сохранив SNI скрытым от посторонних глаз.

Если сервер не поддерживает ECH, браузер может откатиться к стандартному поведению, отправив SNI в открытом виде, как это происходит в настоящее время.

Как включить ECH в Chrome

1. Зайдите в «Настройки» (Settings).

2. Выберите слева раздел «Конфиденциальность и безопасность» (Privacy and security).

3. Нажмите на «Безопасность» (Security).

4. Проверьте, чтобы была включена опция «Использовать безопасный DNS-сервер» (Use secure DNS).

5. В выпадающем меню «Выбрать поставщика услуг DNS» (Select DNS provider) воспользуйтесь любым предустановленным вариантом.

6. Проверьте работу например на этом сайте https://rbpdtdbxxovqvwsl.1tw.live.

Важно помнить, что для полноценной работы ECH необходимо, чтобы не только браузер, но и сервер поддерживал этот протокол, а также был корректно настроен DNS‑запись с публичным ключом.

Проверить какие сайты поддерживают ECH можно тут.