Cloudflare รองรับการเข้ารหัส SNI เพิ่มความยากในการติดตามการใช้งาน

Cloudflare ประกาศว่าบริการของตนนั้นรองรับกับการเข้ารหัส SNI หรือ Server Name Indication แล้ว ซึ่งจะช่วยเพิ่มการปกป้องความเป็นส่วนตัวไม่ให้สามารถติดตามปลายทางเว็บไซต์ของผู้ใช้งานได้ง่ายๆ

credit : blog.cloudflare.com

SNI เป็นส่วนประกอบหนึ่งบน TLS protocol ที่ช่วยให้เซิร์ฟเวอร์ตัวเดียวมี TLS Certificate หลายใบได้ ดังนั้นประโยชน์คือทำให้ใช้เว็บเซิร์ฟเวอร์เดียวกัน (IP เดียวกัน) แชร์ทรัพยากรตั้งหลายเว็บไซต์ได้ พูดง่ายๆ  SNI คือส่วนที่ทำให้ Request ที่เกิดขึ้นไปพบและได้รับ Certificate ของเว็บไซต์ปลายทางบนเซิร์ฟเวอร์ที่แชร์กันอยู่ได้ถูกต้อง

ประเด็นคือว่าถึงเราจะใช้ TLS เพื่อเข้ารหัสเนื้อหาไว้ปลอดภัยแล้วแต่ DNS ก็ยังเป็นจุดอ่อนให้คนอื่น เช่น ISP หรือบุคคลอื่นมาดูปลายทางของเราและอาจนำไปใช้ประโยชน์ด้านการโฆษณาเป็นต้น ทาง Cloudflare จึงได้ออก DNS 1.1.1.1 ที่ใช้งานได้สาธารณะที่เป็น DNS over TLS หรือ HTTPS เพื่อแก้ปัญหาความเป็นส่วนตัว อย่างไรก็ตามถึงจะทำขนาดนี้แล้วข้อมูลปลายทางก็ยังรั่วผ่านส่วน SNI เพราะปกติตอนส่ง Hello Message ไม่ได้มีการเข้ารหัส SNI ไว้ด้วย (สามารถดูได้ตามภาพด้านบน)

ไอเดียก็คือใส่ Public Key ของเซิร์ฟเวอร์ไว้ใน DNS Record ปกติและเมื่อผู้ใช้งานได้รับก็เอาไปเข้ารหัสส่วน SNI Extension จากนั้นก็ส่งใน ClientHello ซึ่งจะมีเซิร์ฟเวอร์ตัวจริงเท่านั้นที่ถอดรหัสได้ โดยการแลกเปลี่ยน Key จะใช้อัลกอริทึม Diffie-Hellman Key Exchange ซึ่งทำให้แลกเปลี่ยน Key ผ่าน Untrusted Channel ได้ แต่กระบวนการนี้จะทำได้บน TLS 1.3 ขึ้นไปเท่านั้นเพราะกระบวนการหนึ่งที่ TLS 1.3 มีคือรองรับการเข้ารหัสข้อมูลระหว่างการ Handshake ถ้าทำในเวอร์ชันเก่าก็ไม่มั่นคงปลอดภัยอีกเพราะไม่มีตรงนี้

credit : blog.cloudflare.com

ทั้งหมดนี้จะเกิดขึ้นได้ไม่ยากเลยเพียงแค่ใช้ Name Server ของ Cloudflare ซึ่งจะทำการเข้ารหัส SNI ฟรีในทุกโซน ดังนั้นผู้ใช้งานไม่ต้องทำอะไรเลย อีกทั้งพันธมิตรที่ไปกับ Cloudflare ตอนนี้ที่อ้างถึงคือ Firefox ที่กำลังทดสอบอยู่และจะปล่อยให้ทดลองบน Firefox Nightly อาทิตย์นี้  อันที่จริงแล้ว Encrypted SNI (ESNI) มาจาก IETF Draft RFC ที่ยังไม่เสร็จสมบูรณ์ดีแต่ Cloudflare เอามาใช้จึงไม่ใช่โปรโตคอล Proprietary เพราะ Cloudflare มุ่งหวังให้เกิดกระแสการรักษาความเป็นส่วนตัวให้ผู้ใช้งานเช่นเดียวกับการใช้งาน HTTPS

ที่มา : https://blog.cloudflare.com/esni/ และ https://blog.cloudflare.com/encrypted-sni/ และ https://www.bleepingcomputer.com/news/security/cloudflare-improves-privacy-by-encrypting-the-sni-during-tls-negotiation/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนผู้ใช้ VLC เล่นไฟล์วิดีโอแปลกปลอมเสี่ยงถูกแฮ็กได้

Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ออกมาแจ้งเตือนถึงช่องโหว่บน VLC แอปพลิเคชันสำหรับเล่นวิดีโอยอดนิยม ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบคอมพิวเตอร์จากระยะไกล ถ้าผู้ใช้เผลอเล่นไฟล์วิดีโออะไรก็ไม่รู้ที่ดาวน์โหลดมาจากอินเทอร์เน็ต

UiPath ขอเชิญร่วม Meeting ในหัวข้อ Discovering the process for Automation 3 ก.ค. 2019

UiPath ขอเชิญผู้ที่สนใจเทคโนโลยี Robotic Process Automation (RPA) ทุกท่าน เข้าร่วมงาน Meeting ฟรี Discovering the process for Automation เพื่อเรียนรู้ว่าปัจจุบันนี้กระบวนการใดบ้างที่นิยมแปลงให้เป็นอัตโนมัติด้วย RPA ในวันที่ 3 ก.ค. 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้