Breaking News

Cloudflare รองรับการเข้ารหัส SNI เพิ่มความยากในการติดตามการใช้งาน

Cloudflare ประกาศว่าบริการของตนนั้นรองรับกับการเข้ารหัส SNI หรือ Server Name Indication แล้ว ซึ่งจะช่วยเพิ่มการปกป้องความเป็นส่วนตัวไม่ให้สามารถติดตามปลายทางเว็บไซต์ของผู้ใช้งานได้ง่ายๆ

credit : blog.cloudflare.com

SNI เป็นส่วนประกอบหนึ่งบน TLS protocol ที่ช่วยให้เซิร์ฟเวอร์ตัวเดียวมี TLS Certificate หลายใบได้ ดังนั้นประโยชน์คือทำให้ใช้เว็บเซิร์ฟเวอร์เดียวกัน (IP เดียวกัน) แชร์ทรัพยากรตั้งหลายเว็บไซต์ได้ พูดง่ายๆ  SNI คือส่วนที่ทำให้ Request ที่เกิดขึ้นไปพบและได้รับ Certificate ของเว็บไซต์ปลายทางบนเซิร์ฟเวอร์ที่แชร์กันอยู่ได้ถูกต้อง

ประเด็นคือว่าถึงเราจะใช้ TLS เพื่อเข้ารหัสเนื้อหาไว้ปลอดภัยแล้วแต่ DNS ก็ยังเป็นจุดอ่อนให้คนอื่น เช่น ISP หรือบุคคลอื่นมาดูปลายทางของเราและอาจนำไปใช้ประโยชน์ด้านการโฆษณาเป็นต้น ทาง Cloudflare จึงได้ออก DNS 1.1.1.1 ที่ใช้งานได้สาธารณะที่เป็น DNS over TLS หรือ HTTPS เพื่อแก้ปัญหาความเป็นส่วนตัว อย่างไรก็ตามถึงจะทำขนาดนี้แล้วข้อมูลปลายทางก็ยังรั่วผ่านส่วน SNI เพราะปกติตอนส่ง Hello Message ไม่ได้มีการเข้ารหัส SNI ไว้ด้วย (สามารถดูได้ตามภาพด้านบน)

ไอเดียก็คือใส่ Public Key ของเซิร์ฟเวอร์ไว้ใน DNS Record ปกติและเมื่อผู้ใช้งานได้รับก็เอาไปเข้ารหัสส่วน SNI Extension จากนั้นก็ส่งใน ClientHello ซึ่งจะมีเซิร์ฟเวอร์ตัวจริงเท่านั้นที่ถอดรหัสได้ โดยการแลกเปลี่ยน Key จะใช้อัลกอริทึม Diffie-Hellman Key Exchange ซึ่งทำให้แลกเปลี่ยน Key ผ่าน Untrusted Channel ได้ แต่กระบวนการนี้จะทำได้บน TLS 1.3 ขึ้นไปเท่านั้นเพราะกระบวนการหนึ่งที่ TLS 1.3 มีคือรองรับการเข้ารหัสข้อมูลระหว่างการ Handshake ถ้าทำในเวอร์ชันเก่าก็ไม่มั่นคงปลอดภัยอีกเพราะไม่มีตรงนี้

credit : blog.cloudflare.com

ทั้งหมดนี้จะเกิดขึ้นได้ไม่ยากเลยเพียงแค่ใช้ Name Server ของ Cloudflare ซึ่งจะทำการเข้ารหัส SNI ฟรีในทุกโซน ดังนั้นผู้ใช้งานไม่ต้องทำอะไรเลย อีกทั้งพันธมิตรที่ไปกับ Cloudflare ตอนนี้ที่อ้างถึงคือ Firefox ที่กำลังทดสอบอยู่และจะปล่อยให้ทดลองบน Firefox Nightly อาทิตย์นี้  อันที่จริงแล้ว Encrypted SNI (ESNI) มาจาก IETF Draft RFC ที่ยังไม่เสร็จสมบูรณ์ดีแต่ Cloudflare เอามาใช้จึงไม่ใช่โปรโตคอล Proprietary เพราะ Cloudflare มุ่งหวังให้เกิดกระแสการรักษาความเป็นส่วนตัวให้ผู้ใช้งานเช่นเดียวกับการใช้งาน HTTPS

ที่มา : https://blog.cloudflare.com/esni/ และ https://blog.cloudflare.com/encrypted-sni/ และ https://www.bleepingcomputer.com/news/security/cloudflare-improves-privacy-by-encrypting-the-sni-during-tls-negotiation/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] The Future of Shopping Valentine’s Day with Retail and E-Commerce

“The Future of Shopping Valentine’s Day with Retail and E-Commerce” วันสำคัญอย่างวาเลนไทน์ที่ผ่านมาหลายคนมองหา “Perfect Gift” สำหรับเพื่อนสนิท ครอบครัวหรือคนรัก …

Food Passion กับการทำ Digital Transformation ด้วยนวัตกรรม, วัฒนธรรม และเทคโนโลยี

หากจะพูดถึงเรื่องราวของการทำ Digital Transformation แล้ว เส้นทางของ Food Passion ธุรกิจเจ้าของแบรนด์ร้านอาหารชื่อดังอย่างบาร์บีคิวพลาซ่าและจุ่มแซ่บฮัทในการก้าวสู่การเป็นองค์กรนวัตกรรมนั้นก็ถือเป็นอีกเรื่องราวที่น่าสนใจไม่น้อย เพราะนอกจากเรื่องของการพัฒนาเทคโนโลยีและนวัตกรรมใหม่ๆ เข้ามาแล้ว อีกส่วนหนึ่งที่คุณเรืองชาย สุพรรณพงศ์ Chief Disruption Officer แห่ง Food Passion ให้ความสำคัญไม่แพ้กันนั้นก็คือเรื่องของวัฒนธรรมและพนักงาน ที่เข้ามามีส่วนช่วยให้การเปลี่ยนแปลงครั้งใหญ่ของ Food Passion นี้ประสบความสำเร็จลุล่วงได้ด้วยดี