Cloudflare รองรับการเข้ารหัส SNI เพิ่มความยากในการติดตามการใช้งาน

Cloudflare ประกาศว่าบริการของตนนั้นรองรับกับการเข้ารหัส SNI หรือ Server Name Indication แล้ว ซึ่งจะช่วยเพิ่มการปกป้องความเป็นส่วนตัวไม่ให้สามารถติดตามปลายทางเว็บไซต์ของผู้ใช้งานได้ง่ายๆ

credit : blog.cloudflare.com

SNI เป็นส่วนประกอบหนึ่งบน TLS protocol ที่ช่วยให้เซิร์ฟเวอร์ตัวเดียวมี TLS Certificate หลายใบได้ ดังนั้นประโยชน์คือทำให้ใช้เว็บเซิร์ฟเวอร์เดียวกัน (IP เดียวกัน) แชร์ทรัพยากรตั้งหลายเว็บไซต์ได้ พูดง่ายๆ  SNI คือส่วนที่ทำให้ Request ที่เกิดขึ้นไปพบและได้รับ Certificate ของเว็บไซต์ปลายทางบนเซิร์ฟเวอร์ที่แชร์กันอยู่ได้ถูกต้อง

ประเด็นคือว่าถึงเราจะใช้ TLS เพื่อเข้ารหัสเนื้อหาไว้ปลอดภัยแล้วแต่ DNS ก็ยังเป็นจุดอ่อนให้คนอื่น เช่น ISP หรือบุคคลอื่นมาดูปลายทางของเราและอาจนำไปใช้ประโยชน์ด้านการโฆษณาเป็นต้น ทาง Cloudflare จึงได้ออก DNS 1.1.1.1 ที่ใช้งานได้สาธารณะที่เป็น DNS over TLS หรือ HTTPS เพื่อแก้ปัญหาความเป็นส่วนตัว อย่างไรก็ตามถึงจะทำขนาดนี้แล้วข้อมูลปลายทางก็ยังรั่วผ่านส่วน SNI เพราะปกติตอนส่ง Hello Message ไม่ได้มีการเข้ารหัส SNI ไว้ด้วย (สามารถดูได้ตามภาพด้านบน)

ไอเดียก็คือใส่ Public Key ของเซิร์ฟเวอร์ไว้ใน DNS Record ปกติและเมื่อผู้ใช้งานได้รับก็เอาไปเข้ารหัสส่วน SNI Extension จากนั้นก็ส่งใน ClientHello ซึ่งจะมีเซิร์ฟเวอร์ตัวจริงเท่านั้นที่ถอดรหัสได้ โดยการแลกเปลี่ยน Key จะใช้อัลกอริทึม Diffie-Hellman Key Exchange ซึ่งทำให้แลกเปลี่ยน Key ผ่าน Untrusted Channel ได้ แต่กระบวนการนี้จะทำได้บน TLS 1.3 ขึ้นไปเท่านั้นเพราะกระบวนการหนึ่งที่ TLS 1.3 มีคือรองรับการเข้ารหัสข้อมูลระหว่างการ Handshake ถ้าทำในเวอร์ชันเก่าก็ไม่มั่นคงปลอดภัยอีกเพราะไม่มีตรงนี้

credit : blog.cloudflare.com

ทั้งหมดนี้จะเกิดขึ้นได้ไม่ยากเลยเพียงแค่ใช้ Name Server ของ Cloudflare ซึ่งจะทำการเข้ารหัส SNI ฟรีในทุกโซน ดังนั้นผู้ใช้งานไม่ต้องทำอะไรเลย อีกทั้งพันธมิตรที่ไปกับ Cloudflare ตอนนี้ที่อ้างถึงคือ Firefox ที่กำลังทดสอบอยู่และจะปล่อยให้ทดลองบน Firefox Nightly อาทิตย์นี้  อันที่จริงแล้ว Encrypted SNI (ESNI) มาจาก IETF Draft RFC ที่ยังไม่เสร็จสมบูรณ์ดีแต่ Cloudflare เอามาใช้จึงไม่ใช่โปรโตคอล Proprietary เพราะ Cloudflare มุ่งหวังให้เกิดกระแสการรักษาความเป็นส่วนตัวให้ผู้ใช้งานเช่นเดียวกับการใช้งาน HTTPS

ที่มา : https://blog.cloudflare.com/esni/ และ https://blog.cloudflare.com/encrypted-sni/ และ https://www.bleepingcomputer.com/news/security/cloudflare-improves-privacy-by-encrypting-the-sni-during-tls-negotiation/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco เปิดตัว Catalyst 9115 และ 9117 Access Points มาตรฐาน Wi-Fi 6

Cisco ประกาศเปิดตัว Access Point มาตรฐาน Wi-Fi 6 หรือ 802.11ax ใหม่ล่าสุด 2 รุ่น คือ Catalyst 9115 …

4 นวัตกรรมเพื่องานเอกสารที่ธุรกิจไทยควรใช้ในปี 2019: RPA, E-Tax Invoice, Paperless, และ Information Rights Management

ในปี 2019 นี้กระแสการทำ Digital Transformation เองก็ได้เข้าสู่ขั้นตอนที่เหล่าธุรกิจองค์กรเริ่มต้นทำกันอย่างจริงจังมากขึ้นด้วยการประยุกต์นำเทคโนโลยีใหม่ ๆ และสร้างสรรค์นวัตกรรมเข้าไปเสริมในกระบวนการทำธุรกิจหรือผลิตภัณฑ์และบริการของตนเองกันแล้ว Fuji Xerox เองในฐานะของผู้นำโซลูชันด้านการจัดการเอกสารในองค์กร ก็ได้ออกมาเล่าถึง 4 นวัตกรรมที่น่าจับตามองในการจัดการเอกสารประจำปี 2019 ในการพูดคุยกับทีมงาน TechTalkThai เราจึงขอนำเนื้อหามาสรุปให้ผู้อ่านทุกท่านได้อ่านกันดังนี้ครับ