Как стать автором
Обновить
1
0
Илья Прудников @I-Prudnikov

Пользователь

Отправить сообщение
К сожалению не могу раскрывать информацию о том, на каких ресурсах мы используем ESNI (могу сказать что используем на продакшене).
Если Вам нужно протестировать саму технологию, то я думаю вполне подойдет тот же сайт www.cloudflar.com. Как я писал в статье, сайты CloudFlare используют ESNI. Т.е. настроив FireFox, Вы можете открыть данный сайт и, например, проверить (с помощью WireShark) как выглядит «Client Hello».
Если Вам нужно протестировать собственный сайт, то используйте ESNI proxy. В репозитории, на который ссылка выше, подробная инструкция про генерацию ESNI ключей и добавление записей в DNS. Т.е. к примеру, если у Вас уже есть некий сайт, то нужно добавить только DNS TXT запись вида "_esni.FQDN" с публичным ESNI ключом, и запустить прокси «перед» сайтом. Если нужны подробные комментарии могу пояснить как конкретно это сделать, например в AWS.
Уточню, мы используем это решение абсолютно независимо от СloudFlare. В качестве клиента — FireFox.
Посмотрите вот этот комментарий. Ответил на вопрос?
Давайте уточню. У CloudFlare мы взяли реализацию ESNI поверх TLS 1.3, почему именно у них — потому что это единственная реализацию которую поддерживает FireFox (хардкод конкретных cipher-suite и прочая специфика). Собственно на базе их реализации мы собрали небольшой прокси — ESNI reverse proxy. Исходники тут, с подробной инструкцией как собрать и запустить. Докер образ конечно тоже имеется но он не опубликован на docker hub. Если поможет, могу также поделится докер файлом для сборки ESNI reverse proxy.
У CloudFlare есть что-то подобное, но свою реализацию они не выложили в открытый доступ, поэтому мы реализовали свою версию.
Да, верное замечание. Мы экспериментировали с ECDSA, и обнаружили и такой момент, что на старых iOS и Android (может и еще где) ресурс c ECDSA сертификатом отображается как не защищенный.
Если на одном IP — один ресурс, то да, reverse DNS lookup поможет определить. Многие провайдеры «шарят» IP адреса, ну и никто не запрещает нам размещать несколько ресурсов на одном IP адресе.
Да, так и есть, поэтому это конечно не панацея и не единственный вариант (известны случаи массовой блокировки IP адресов облачных провайдеров, ну и что дальше было — тоже известно). Кстати далеко не все блокировщики работают по такому принципу.

Прежде всего здесь конфиденциальность — перехваченный трафик не содержит информации в открытом виде. Каждый для себя решает сам, на сколько ему это важно.
Ответ в первом комментарии
Добрый день, данная тема хорошо раскрыта у CloudFlare здесь. В двух словах — имя ресурса к которому мы запрашиваем доступ не передается в открытом виде в течение всей сессии. Что это дает и почему это важно:
1. Провайдер не знает на какие сайты мы ходим
2. Системы блокировки веб сайтов (которые фильтруют сайты по именам) не могут распознать имя сайта.
Все что известно о сессии это то что произошло соединение с определенным IP адресом. Какой конкретно ресурс мы запрашиваем — неизвестно. В этом основная суть. Готов прокомментировать подробнее.

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность