Encrypted Client Hello в Firefox: как включить и почему не работает

C 85-й версии начиная браузер Firefox технологию защиты от перехватов ESNI (Encrypted Server Name Indication) официально больше не поддерживает. Вместо неё теперь — ECH или Encrypted Client Hello.

Как отмечает сам разработчик, новое TLS-расширение ECH изначально разрабатывалось с учетом всех выявленных недостатков ESNI.

В частности, говорится в публикации Mozilla Security Blog, «ESNI не обеспечивает полную защиту данных и имеет проблемы со взаимодействием и развертыванием, которые не позволяют использовать эту технологию более широко«.

В этой связи и было принято решение отказаться от поддержки ESNI в Firefox 85 в пользу ECH.

Не пропустите: Как убрать поисковые предложения из адресной строки Firefox

как включить поддержку ECH в браузере Firefox

Делается это стандартно, через включение соответствующей опции в разделе экспериментальных настроек браузера. А именно:

  • в адресной строке пишем about:config и жмем Enter;
  • через поиск в разделе находим опцию network.dns.echconfig.enabled и двойным кликом по строке устанавливаем для неё значение TRUE;
  • далее точно так же находим опцию network.dns.use_https_rr_as_altsvc и тоже ставим для неё значение TRUE;
  • перезапускаем Firefox.

Новая адресная строка в Firefox: как сделать её старой - Encrypted Client Hello - Captive Portal

Но есть проблема: Encrypted Client Hello без своего сервера не работает

Тест Cloudflare показывает, в настоящее время браузер Server Name Indication не шифрует, даже если функция шифрования включена. Дело в том, что Cloudflare, как провайдер данного сервиса, эту технологию сам еще не включил.

Следовательно, с точки зрения конечного пользователя Firefox, ситуация получается не совсем правильная. Firefox после 85-й версии ESNI уже не поддерживает, а Encrypted Client Hello хоть и поддерживает, но по факту чисто формально. О чем юзеры сейчас активно пишут службе поддержки браузера.

На что саппорт Mozilla пока только рекомендует пользователям временно перейти на Firefox ESR, в котором поддержка ESNI еще не отключена. И вот пока так, что называется, до выяснения…

Ситуация и вправду странная: понятно, что в Mozilla поспешили, а в Cloudflare пока не торопятся. И, к слову, по некоторым данным, в Cloudflare считают, что спецификация ECH ещё не достигла должной «степени готовности», но работы ведутся…

Напомним, компания Cloudflare является крупнейшим и провайдером онлайн-доступа, который поддерживает ESNI, и пока единственным, который обеспечивает глобальную её поддержку.

Что будем искать? Например,VPN

Мы в социальных сетях