Что такое Encrypted Client Hello (ECH) и почему он важен?

ECH — это функция безопасности на Firefox и других основных веб-браузерах, которая заполняет пробел в существующей инфраструктуре конфиденциальности и безопасности в Интернете, благодаря которому посещаемые пользователем веб-сайты становятся доступными третьим сторонам, таким как интернет-провайдеры или другие неавторизованные стороны.

Как включить ECH на Firefox?

Чтобы ключить ECH в Firefox, обновите браузер, если не используете версию 118 или выше и включите DNS через HTTPS.

Как узнать, что у меня есть ECH?

ECH в Firefox стал впервые доступен в Firefox версии 118 и включен по умолчанию в Firefox 119 и выше. Однако ECH активен только тогда, когда включен DoH. Узнайте больше о графике установки DoH.

Влияет ли ECH на скорость Интернета?

Нет. ECH требует лишь небольшого дополнительного объема данных при подключении к веб-сайту. Эти данные занимают несколько сотен байт, чего недостаточно, чтобы повлиять на скорость Интернета. Firefox извлекает эти данные одновременно с поиском в DNS при подключении к веб-сайту, что гарантирует отсутствие дополнительной задержки во время подключения.

Влияет ли ECH на совместимость сайта?

ECH был специально разработан для взаимодействия с существующими веб-сайтами и серверами. По действующим стандартам серверы, которые не понимают ECH, его пропускают. Firefox знает, как продолжить подключение без каких-либо перерывов в вашем просмотре сайтов. Мы провели ряд исследований и тестов, чтобы гарантировать правильную работу веб-сайтов.

Можно использовать ECH наряду с другими инструментами безопасности, такими как блокировщики рекламы?

Да, ECH можно использовать вместе с блокировщиками рекламы. Блокировщики рекламы, интегрированные с Firefox как расширения, будут автоматически работать с ECH и не требуют изменений. Однако тем, кто использует фильтрацию на основе DNS, может потребоваться изменить конфигурацию, чтобы пользоваться ECH. Чтобы использовать ECH, Firefox необходимо настроить с помощью сервера DNS-over-HTTPS. В зависимости от того, размещен ли DNS-фильтр локально или у онлайн-провайдера, инструкции по подключению к нему через DoH будут отличаться, и пользователям этих сервисов необходимо ознакомиться с сопроводительной документацией.

Можно использовать ECH наряду с другими инструментами безопасности, такими как VPN?

Да. Более того, объединение ECH с VPN может обеспечить дополнительный уровень конфиденциальности и безопасности. Чтобы использовать ECH с VPN, защиту DNS через HTTPS нужно Настройка уровней защиты DNS через HTTPS в Firefox в режим Повышенной или Максимальной защиты. Это связано с тем, что режим защиты По умолчанию использует DNS провайдера VPN, а не DoH, чтобы обеспечить правильную маршрутизацию трафика. Обратите внимание, что в тех случаях, когда VPN используется в корпоративной или автономной среде для подключения к ресурсам, недоступным в общедоступном Интернете, изменение уровня защиты DNS может сделать эти частные ресурсы недоступными в Firefox.

Создает ли ECH проблемы с конфиденциальностью или какие-либо другие проблемы?

ECH — это ценный инструмент для повышения конфиденциальности и безопасности в Интернете, который шифрует ваши первоначальные подключения к веб-сайту. Тем не менее важно отметить, что многие веб-сайты не сразу поддерживают ECH, а значит, эти сайты не будут иметь дополнительную конфиденциальность, предоставляемую ECH. Убедитесь, что ваш браузер Firefox постоянно обновляется, и имеет новейший уровень безопасности, включая ECH. В отличие от таких технологий, как VPN, ECH не перенаправляет трафик вашего браузера и не привлекает третьи стороны; он просто добавляет дополнительный уровень шифрования к вашим стандартным подключениям.

Появятся ли изменения в процессе просмотра веб-страниц как результат этого шифрования?

Пользователи Firefox не заметят существенных отличий в работе с сайтами.

Как ECH будет влиять на родительский контроль?

Если применяется родительский контроль, шифрование ECH отключается во избежание вмешательства в его работу.

Как ECH повлияет на компании, использующие прозрачные прокси-серверы?

ECH-шифрование автоматически отключается, когда определены доверенные браузером прокси или промежуточные устройства, таким образом, ECH их не затрагивает.

Как ECH взаимодействует с отказами от DoH?

Отказы от DoH по умолчанию отключают шифрование ECH в Firefox. Эти отказы может настроить пользователь или программное обеспечение, установленное на его устройстве, а также сигналы от сети и администратора через групповые политики. Если пользователь или администратор явно выбирает повышенный или максимальный уровень защиты, их выбор переопределяет сигналы из сети.

Какие веб-сайты могут использовать ECH?

Любой веб-сайт может использовать ECH, при условии, что он оснащен необходимой серверной поддержкой. Оптимальная конфиденциальность достигается, когда несколько веб-сайтов размещаются на одном веб-сервере, что является распространенной конфигурацией в современной интернет-экосистеме.

Почему пользователи не могут напрямую управлять ECH?

В соответствии с нашим приоритетом по умолчанию для конфиденциальности и безопасности мы оснащаем Firefox полным набором средств защиты, включенных по умолчанию. Следовательно, ECH включен по умолчанию, но не будет использоваться, если задействовано программное обеспечение семейной безопасности или Firefox настроен для корпоративного использования. Это похоже на другие технологии безопасности и конфиденциальности, используемые в Firefox, такие как TLS 1.3, также недоступный в пользовательских настройках.

С любым ли DoH-провайдером можно использовать ECH?

Да! Все DoH-серверы, расположенные локально или предоставляемые онлайн-сервисами, можно использовать для извлечение ECH-записей.

Можно ли использовать ECH без DoH?

На данный момент использовать ECH без DoH в Firefox невозможно. Функциональность ECH зависит от DoH, поскольку он шифрует первоначальное подключение к веб-сайту, используя ключи шифрования, предоставляемые DNS по протоколу HTTPS. Следовательно, чтобы использовать ECH в Firefox, должен быть включен DoH.

Имейте в виду, что без DoH в Firefox DNS-запросы в вашей локальной сети остаются незашифрованными и все чаще подвергаются мониторингу. Если вы предпочитаете использовать локальный сервер DNS, у вас есть возможность самостоятельно разместить DNS через HTTPS (DoH), обеспечивая шифрование трафика DNS для вашей локальной сети.

Почему ECH зависит от DoH?

ECH зависит от нового типа записей DNS, называемых записями ресурсов HTTPS, которые описывают, как использовать ECH для подключения к веб-сайту. Для того чтобы ECH обеспечивал эффективную конфиденциальность, эти записи должны быть получены по зашифрованному соединению, и для этого Firefox использует DoH.

Мы знаем, что некоторые опытные пользователи предпочитают размещать у себя собственные DNS-резолверы. В этом случае мы рекомендуем самостоятельно разместить сервер DoH и настроить Firefox для его использования. Это гарантирует, что ваш локальный трафик DNS шифруется между вашим клиентом и вашим сервером, предотвращая его просмотр другими устройствами в вашей локальной сети. В качестве альтернативы, если это поддерживается, вы можете настроить Firefox на странице настроек DNS на использование того же вышестоящего DNS-провайдера, что и ваш локальный резолвер.

По мере усовершенствования поддержки DoH в операционных системах и других транспортах шифрования DNS мы изучим технические средства, необходимые для поддержки извлечения этих записей средствами операционных систем.

Как узнать, работает ли у меня ECH?

ECH не отображается в пользовательском интерфейсе браузера, но вы можете проверить, работает ли он для вас, используя Проверку безопасности браузера Cloudflare.

Дополнительная информация

• Что нужно знать об Encrypted Client Hello (ECH)
• ECH Technical Article on Mozilla's Wiki (for expert users)
• DNS через HTTPS в Firefox
• Настройка уровней защиты DNS через HTTPS в Firefox