行業新聞與博客

當互聯網最初發展時，安全性是一個遙遠的問題，大多數網絡流量都是未加密的。由於缺乏加密，它很容易被那些擁有必要訪問權限和手段的人攔截。隨着時間的推移，對互聯網流量的被動監控不斷擴大，並且隨着 SSL（安全套接字層）和後來的 TLS（傳輸層安全）協議的出現，安全性也取得了顯着的進步。然而，愛德華·斯諾登的揭露揭示了被動監控的程度，並促使互聯網工程任務組 (IETF) 宣佈普遍監控為一種攻擊，從而制定了應對措施。

從那時起，該行業一直致力於加密元數據以防止被動監控。首先，DNS 查詢的加密（揭示用户訪問的網站）成為可能。後來，Google 主張棄用通過在線證書狀態協議 (OCSP) 進行的證書吊銷檢查，該協議也會暴露網站名稱。只有兩個區域保留了感興趣的信息：TLS 握手和 IP 地址。

TLS 1.3 的發佈旨在減少明文數據傳輸，引入了部分握手加密，隱藏客户端和服務器證書。將完全加密引入 TSL 協議仍然是一項持續的工作。在 TLS 協議中，這些數據通過服務器名稱指示 (SNI) 擴展進行傳輸，加密 SNI (ESNI) 的概念由此誕生。隨後，ESNI 演變為 Encrypted Client Hello (ECH)，旨在對整個握手過程進行加密。

ECH 如何工作以及如何將其納入 TLS 協議？加密需要建立加密密鑰。但是，必須進行 TLS 握手才能交換這些密鑰。為了在握手之前加密服務器的身份，必須在 DNS 記錄中發佈加密密鑰。然後，客户端可以安全地與服務器連接以進行 TLS 握手，而無需暴露服務器的域名。然而，這仍然使 IP 地址未加密。解決方案是將數千甚至數百萬個網站聚合到同一 IP 地址上。這種方法有效地掩蓋了正在訪問的特定網站，從而挫敗了任何精確監控流量的嘗試。

在支持方面，各大網絡瀏覽器都在積極致力於集成 ECH。Chrome 和 Firefox 正在朝這個方向取得重大進展。此外，DefO 項目正在努力更新 OpenSSL 以適應這些進步。雖然 Cloudflare 最初宣佈支持 ECH，但他們暫時推遲了實施，並計劃在今年晚些時候發佈。

ECH 的採用代表着在加強互聯網用户的安全和隱私方面向前邁出了重要一步。隨着網絡瀏覽器生態系統與這些發展保持一致，用户可以期待更安全、更私密的在線體驗。在行業領導者和組織的共同努力下，被動監控和未加密網絡流量的時代正在逐步結束，讓我們距離更加安全和私密的互聯網格局又近了一步。

最初發佈於 2023 年 11 月 6 日星期一