Cloudflare รองรับการเข้ารหัส SNI เพิ่มความยากในการติดตามการใช้งาน

Cloudflare ประกาศว่าบริการของตนนั้นรองรับกับการเข้ารหัส SNI หรือ Server Name Indication แล้ว ซึ่งจะช่วยเพิ่มการปกป้องความเป็นส่วนตัวไม่ให้สามารถติดตามปลายทางเว็บไซต์ของผู้ใช้งานได้ง่ายๆ

credit : blog.cloudflare.com

SNI เป็นส่วนประกอบหนึ่งบน TLS protocol ที่ช่วยให้เซิร์ฟเวอร์ตัวเดียวมี TLS Certificate หลายใบได้ ดังนั้นประโยชน์คือทำให้ใช้เว็บเซิร์ฟเวอร์เดียวกัน (IP เดียวกัน) แชร์ทรัพยากรตั้งหลายเว็บไซต์ได้ พูดง่ายๆ  SNI คือส่วนที่ทำให้ Request ที่เกิดขึ้นไปพบและได้รับ Certificate ของเว็บไซต์ปลายทางบนเซิร์ฟเวอร์ที่แชร์กันอยู่ได้ถูกต้อง

ประเด็นคือว่าถึงเราจะใช้ TLS เพื่อเข้ารหัสเนื้อหาไว้ปลอดภัยแล้วแต่ DNS ก็ยังเป็นจุดอ่อนให้คนอื่น เช่น ISP หรือบุคคลอื่นมาดูปลายทางของเราและอาจนำไปใช้ประโยชน์ด้านการโฆษณาเป็นต้น ทาง Cloudflare จึงได้ออก DNS 1.1.1.1 ที่ใช้งานได้สาธารณะที่เป็น DNS over TLS หรือ HTTPS เพื่อแก้ปัญหาความเป็นส่วนตัว อย่างไรก็ตามถึงจะทำขนาดนี้แล้วข้อมูลปลายทางก็ยังรั่วผ่านส่วน SNI เพราะปกติตอนส่ง Hello Message ไม่ได้มีการเข้ารหัส SNI ไว้ด้วย (สามารถดูได้ตามภาพด้านบน)

ไอเดียก็คือใส่ Public Key ของเซิร์ฟเวอร์ไว้ใน DNS Record ปกติและเมื่อผู้ใช้งานได้รับก็เอาไปเข้ารหัสส่วน SNI Extension จากนั้นก็ส่งใน ClientHello ซึ่งจะมีเซิร์ฟเวอร์ตัวจริงเท่านั้นที่ถอดรหัสได้ โดยการแลกเปลี่ยน Key จะใช้อัลกอริทึม Diffie-Hellman Key Exchange ซึ่งทำให้แลกเปลี่ยน Key ผ่าน Untrusted Channel ได้ แต่กระบวนการนี้จะทำได้บน TLS 1.3 ขึ้นไปเท่านั้นเพราะกระบวนการหนึ่งที่ TLS 1.3 มีคือรองรับการเข้ารหัสข้อมูลระหว่างการ Handshake ถ้าทำในเวอร์ชันเก่าก็ไม่มั่นคงปลอดภัยอีกเพราะไม่มีตรงนี้

credit : blog.cloudflare.com

ทั้งหมดนี้จะเกิดขึ้นได้ไม่ยากเลยเพียงแค่ใช้ Name Server ของ Cloudflare ซึ่งจะทำการเข้ารหัส SNI ฟรีในทุกโซน ดังนั้นผู้ใช้งานไม่ต้องทำอะไรเลย อีกทั้งพันธมิตรที่ไปกับ Cloudflare ตอนนี้ที่อ้างถึงคือ Firefox ที่กำลังทดสอบอยู่และจะปล่อยให้ทดลองบน Firefox Nightly อาทิตย์นี้  อันที่จริงแล้ว Encrypted SNI (ESNI) มาจาก IETF Draft RFC ที่ยังไม่เสร็จสมบูรณ์ดีแต่ Cloudflare เอามาใช้จึงไม่ใช่โปรโตคอล Proprietary เพราะ Cloudflare มุ่งหวังให้เกิดกระแสการรักษาความเป็นส่วนตัวให้ผู้ใช้งานเช่นเดียวกับการใช้งาน HTTPS

ที่มา : https://blog.cloudflare.com/esni/ และ https://blog.cloudflare.com/encrypted-sni/ และ https://www.bleepingcomputer.com/news/security/cloudflare-improves-privacy-by-encrypting-the-sni-during-tls-negotiation/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …