Cloudflare รองรับการเข้ารหัส SNI เพิ่มความยากในการติดตามการใช้งาน

Cloudflare ประกาศว่าบริการของตนนั้นรองรับกับการเข้ารหัส SNI หรือ Server Name Indication แล้ว ซึ่งจะช่วยเพิ่มการปกป้องความเป็นส่วนตัวไม่ให้สามารถติดตามปลายทางเว็บไซต์ของผู้ใช้งานได้ง่ายๆ

credit : blog.cloudflare.com

SNI เป็นส่วนประกอบหนึ่งบน TLS protocol ที่ช่วยให้เซิร์ฟเวอร์ตัวเดียวมี TLS Certificate หลายใบได้ ดังนั้นประโยชน์คือทำให้ใช้เว็บเซิร์ฟเวอร์เดียวกัน (IP เดียวกัน) แชร์ทรัพยากรตั้งหลายเว็บไซต์ได้ พูดง่ายๆ  SNI คือส่วนที่ทำให้ Request ที่เกิดขึ้นไปพบและได้รับ Certificate ของเว็บไซต์ปลายทางบนเซิร์ฟเวอร์ที่แชร์กันอยู่ได้ถูกต้อง

ประเด็นคือว่าถึงเราจะใช้ TLS เพื่อเข้ารหัสเนื้อหาไว้ปลอดภัยแล้วแต่ DNS ก็ยังเป็นจุดอ่อนให้คนอื่น เช่น ISP หรือบุคคลอื่นมาดูปลายทางของเราและอาจนำไปใช้ประโยชน์ด้านการโฆษณาเป็นต้น ทาง Cloudflare จึงได้ออก DNS 1.1.1.1 ที่ใช้งานได้สาธารณะที่เป็น DNS over TLS หรือ HTTPS เพื่อแก้ปัญหาความเป็นส่วนตัว อย่างไรก็ตามถึงจะทำขนาดนี้แล้วข้อมูลปลายทางก็ยังรั่วผ่านส่วน SNI เพราะปกติตอนส่ง Hello Message ไม่ได้มีการเข้ารหัส SNI ไว้ด้วย (สามารถดูได้ตามภาพด้านบน)

ไอเดียก็คือใส่ Public Key ของเซิร์ฟเวอร์ไว้ใน DNS Record ปกติและเมื่อผู้ใช้งานได้รับก็เอาไปเข้ารหัสส่วน SNI Extension จากนั้นก็ส่งใน ClientHello ซึ่งจะมีเซิร์ฟเวอร์ตัวจริงเท่านั้นที่ถอดรหัสได้ โดยการแลกเปลี่ยน Key จะใช้อัลกอริทึม Diffie-Hellman Key Exchange ซึ่งทำให้แลกเปลี่ยน Key ผ่าน Untrusted Channel ได้ แต่กระบวนการนี้จะทำได้บน TLS 1.3 ขึ้นไปเท่านั้นเพราะกระบวนการหนึ่งที่ TLS 1.3 มีคือรองรับการเข้ารหัสข้อมูลระหว่างการ Handshake ถ้าทำในเวอร์ชันเก่าก็ไม่มั่นคงปลอดภัยอีกเพราะไม่มีตรงนี้

credit : blog.cloudflare.com

ทั้งหมดนี้จะเกิดขึ้นได้ไม่ยากเลยเพียงแค่ใช้ Name Server ของ Cloudflare ซึ่งจะทำการเข้ารหัส SNI ฟรีในทุกโซน ดังนั้นผู้ใช้งานไม่ต้องทำอะไรเลย อีกทั้งพันธมิตรที่ไปกับ Cloudflare ตอนนี้ที่อ้างถึงคือ Firefox ที่กำลังทดสอบอยู่และจะปล่อยให้ทดลองบน Firefox Nightly อาทิตย์นี้  อันที่จริงแล้ว Encrypted SNI (ESNI) มาจาก IETF Draft RFC ที่ยังไม่เสร็จสมบูรณ์ดีแต่ Cloudflare เอามาใช้จึงไม่ใช่โปรโตคอล Proprietary เพราะ Cloudflare มุ่งหวังให้เกิดกระแสการรักษาความเป็นส่วนตัวให้ผู้ใช้งานเช่นเดียวกับการใช้งาน HTTPS

ที่มา : https://blog.cloudflare.com/esni/ และ https://blog.cloudflare.com/encrypted-sni/ และ https://www.bleepingcomputer.com/news/security/cloudflare-improves-privacy-by-encrypting-the-sni-during-tls-negotiation/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ASUS เปิดตัว ExpertBook P5 คอมพิวเตอร์ Copilot+ เครื่องแรกสำหรับการทำงานเพิ่มประสิทธิภาพด้วย AI และความปลอดภัยขั้นสูงสำหรับมืออาชีพยุคใหม่ [PR]

ในช่วงเวลาเพียง 5 ปีนับตั้งแต่การเริ่มต้นธุรกิจกลุ่ม B2B เอซุสประสบความสำเร็จในการเติบโตในตลาด สามารถครองส่วนแบ่งการตลาดภาครัฐกว่า 23% ในครึ่งแรกของปี 2024 ความสำเร็จนี้เกิดขึ้นจากความมุ่งมั่นของเราในการพัฒนาคุณภาพผลิตภัณฑ์ ความปลอดภัยระดับธุรกิจ และการบริการที่ยอดเยี่ยม โดยเฉพาะอย่างยิ่งการสนับสนุนจากพันธมิตรที่รวดเร็วและเชื่อถือได้ เพื่อขยายธุรกิจไปข้างหน้า เอซุสภูมิใจเสนอ …

Meta เตรียมลงทุนกว่า 10 พันล้านดอลลาร์ในสายเคเบิลอินเทอร์เน็ตใต้ทะเลความยาวรอบโลก

มีรายงานว่า Meta Platforms บริษัทแม่ของ Facebook เตรียมลงทุนกว่า 10 พันล้านดอลลาร์ในโครงการสายเคเบิลอินเทอร์เน็ตใต้ทะเลที่มีความยาวรอบโลก