De volgende versie van Firefox ondersteunt een nieuw protocol dat de handshake voor het opzetten van een beveiligde verbinding met websites moet beschermen. Dat heeft Mozilla in een blogposting aangekondigd. Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers.
Server Name Indication (SNI) is een TLS-extensie waarbij de client aan het begin van het opzetten van de beveiligde verbinding laat weten welke host hij probeert te bezoeken. Dit zorgt ervoor dat een server meerdere https-sites op hetzelfde adres kan hosten, zonder dat al die websites hetzelfde certificaat gebruiken. De client geeft namelijk aan welke website hij wil bezoeken.
Zonder SNI zou de server niet weten welk certificaat hij aan de client moet aanbieden. Een probleem is dat bijvoorbeeld een internetprovider het onversleutelde bericht met daarin de SNI kan onderscheppen en zo kan zien naar welke website de gebruiker wil gaan. Partijen die internetverkeer willen censureren maken hiervan gebruik om bepaalde websites te blokkeren.
Om dit te voorkomen werd Encrypted Server Name Indication (ESNI) bedacht, een uitbreiding van TLS 1.3. ESNI voorkomt dat een provider kan zien welke website de gebruiker wil bezoeken. De server publiceert hiervoor een public key in een dns-record, die voor het opzetten van de verbinding door de client wordt opgehaald. De client vervangt de SNI-extensie met een Encrypted SNI-extensie. Dit is het originele veld, alleen dan versleuteld met een symmetrische sleutel afgeleid van de eerder opgehaalde public key van de server.
De server, die de private key bezit, kan de symmetrische encryptiesleutel afleiden, en zo de Encrypted SNI-extensie ontsleutelen. Aangezien alleen de client en de server waar verbinding mee wordt gemaakt de encryptiesleutel kunnen afleiden, is de Encrypted SNI niet door derde partijen te ontsleutelen of benaderen. Uit nader onderzoek blijkt dat ESNI in bepaalde scenario's geen volledige bescherming biedt en er praktische problemen zijn bij de uitrol ervan.
Om de tekortkomingen van ESNI te verhelpen is besloten om niet alleen de SNI te versleutelen maar de volledige handshake en zo de metadata te beschermen. Daarom is ook de naam veranderd in ECH (Encrypted Client Hello). Net als ESNI maakt ECH gebruik van een public key die via dns wordt verspreid. Waar ESNI hiervoor een TXT-record gebruikt, doet ECH dit via een HTTPSSVC-record.
Daarnaast maakt ECH gebruik van twee Client Hello messages: de ClientHelloOuter, die onversleuteld wordt verstuurd, en de ClientHelloInner, die versleuteld is en als een extensie van de ClientHelloOuter wordt verstuurd. De server zet de handshake op met één van deze ClientHellos. Wanneer de decryptie succesvol is gaat de server verder met de "Inner" Client Hello als basis voor de TLS-verbinding. Dit moet de privacy van gebruikers verder beschermen, aldus Mozilla.
In de volgende versie van Firefox zal Mozilla ESNI vervangen door ECH. Gebruikers krijgen het advies om te wachten totdat ECH standaard in de browser wordt ingeschakeld, maar voor wie niet wil wachten is dit al in de Firefox-opties in te stellen. Daarnaast moet de server waarmee verbinding wordt gemaakt ECH ondersteunen. Volgens Mozilla is ECH een spannende en robuuste evolutie van ESNI en zal Firefox het protocol binnenkort gaan ondersteunen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Op woensdag 17 maart mogen alle Nederlanders van achttien jaar en ouder weer naar de stembus voor de Tweede Kamerverkiezingen. ...
Nog een aantal weken en dan gaat Nederland weer naar de stembus om een nieuwe Tweede Kamer te kiezen. In aanloop naar de ...
Het aftellen naar de verkiezingen is begonnen. Nog vier weken en dan mag Nederland in de stemlokalen en per post bepalen wie de ...
Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.