Firefox Nightly現在開始支援加密TLS伺服器名稱指示(Server Name Indication,SNI)擴充套件,而這將能避免攻擊者窺探使用者的瀏覽歷史紀錄。使用者現在可以在Firefox Nightly中啟用該功能,瀏覽支援該技術的網站將自動運作,目前僅支援在Cloudflare上託管的網站。

使用者的瀏覽歷史紀錄洩漏有四種主要管道,包括TLS憑證訊息、DNS名稱解析、伺服器的IP位置以及TLS伺服器名稱指示。這些管道正一個一個被關閉,由於新的TLS 1.3標準預設加密伺服器憑證,而且Mozilla也一直探索以DNS over HTTPS來保護DNS流量,因此其中兩個管道的攻擊者已經無法使用。

不過,伺服器的IP位置仍然是個問題,由於多個網站會共享同一個IP位置,所以仍留有伺服器名稱指示的資訊。當使用者連接到伺服器時,伺服器需要使用者提供正確的憑證,以證明自己非攻擊者,但當一個IP位置有多個伺服器,則需要伺服器名稱指示資訊告訴伺服器,使用者嘗試連接的主機名稱,以允許伺服器選擇正確的憑證,而這對於大規模TLS託管工作很有幫助。

但伺服器名稱指示卻是個嚴重的隱私問題,因為會暴露使用者的瀏覽歷史紀錄,原本應該加入TLS 1.3的規範當中,但因為效能權衡以及支援度的關係,並非每一個網站都會支援,這樣反而讓使用加密伺服器名稱指示功能的網站曝露其特殊性,因此委員會最終決定不放入TLS 1.3中。

Mozilla現在找上了內容傳遞網路(Content Delivery Network,CDN)供應商,由於這些供應商會在同一臺機器託管多個網站,因此只要願意支援加密伺服器名稱指示,有心人士也頂多知道使用者連接這些供應商,而無法準確知道是哪個網站。

Mozilla提到這是一個全新技術,Firefox率先進行支援,使用者可以啟用Firefox Nightly中的加密伺服器名稱指示功能,並會在瀏覽託管於Cloudflare的網站時發揮作用。


Advertisement

更多 iThome相關內容