«Хватит за нами подглядывать». В сети предложили способ скрыть от провайдера название сайтов, на которые вы заходите
В интернете появилась ещё одна попытка скрыть лишние детали о том, куда именно подключается пользователь. Новый стандарт от инженерного сообщества предлагает закрыть один из последних «прозрачных» элементов в защищённых соединениях — и тем самым усложнить жизнь тем, кто следит за сетевым трафиком.
Internet Engineering Task Force опубликовала документ RFC 9849, который описывает механизм Encrypted Client Hello. Речь идёт о расширении протокола TLS, позволяющем шифровать начальное сообщение клиента при установке соединения с сервером.
Даже в версии TLS 1.3 часть данных до сих пор передаётся в открытом виде. Самый чувствительный элемент — поле SNI, где указывается домен, к которому подключается клиент. Наблюдатель в сети может увидеть этот домен, даже если остальной трафик зашифрован. Новый механизм устраняет именно эту утечку.
Суть подхода сводится к разделению начального сообщения на две части. Внешняя часть выглядит как обычный запрос и не содержит чувствительных данных. Внутренняя часть включает реальную информацию — например, целевой домен — и передаётся уже в зашифрованном виде. Сервер, обладающий нужным ключом, расшифровывает её и продолжает соединение.
Разработчики предусмотрели два сценария работы. В первом случае один сервер обрабатывает весь трафик целиком. Во втором используется связка из «фронтового» узла и внутреннего сервера, где первый принимает соединение и передаёт зашифрованные данные дальше. Такой подход позволяет скрывать конечную инфраструктуру даже от промежуточных узлов.
Новый стандарт не решает проблему полностью. Адрес сайта может по-прежнему раскрыться через DNS-запросы или IP-адреса. Однако в сочетании с защищёнными DNS-технологиями уровень приватности заметно растёт. В документации прямо указано, что максимальный эффект достигается только при совместном использовании нескольких механизмов.
Отдельное внимание уделили устойчивости к атакам. Протокол спроектирован так, чтобы злоумышленник не смог принудительно отключить шифрование или извлечь данные через модификацию сообщений. Также предусмотрены меры против отслеживания пользователей через конфигурации ключей.
Внедрение ECH потребует изменений и на стороне клиентов, и на стороне серверов. Ошибки в настройке могут привести к дополнительным задержкам при подключении, поскольку механизм предусматривает повторные попытки соединения при несовпадении конфигураций.
Несмотря на сложности, появление RFC 9849 показывает, что развитие TLS постепенно закрывает даже те утечки, которые долго считались неизбежными. Для наблюдателей в сети остаётся всё меньше информации, доступной без прямого вмешательства.