С напредването на технологиите и стремежа към по-висока поверителност при онлайн комуникациите, се появяват нови протоколи, които коренно променят начина, по който се обменя информация в интернет. Един от тези нови стандарти е Encrypted Client Hello (ECH) — разширение към протокола TLS, което криптира първоначалното “Client Hello” съобщение в TLS ръкостискането. Основната цел: да се скрие домейнът, към който потребителят иска да осъществи връзка, от всички странични наблюдатели в мрежата.
ECH: Какво е и защо е важно
От края на 2023 г., Google Chrome (от версия 117) има активирана поддръжка на ECH по подразбиране. Скоро след това, и други браузъри, базирани на Chromium, като Microsoft Edge и Mozilla Firefox, добавиха тази функционалност. От страна на хостинг инфраструктурата, водещи доставчици като Cloudflare, Amazon CloudFront и Microsoft Azure също поддържат новия стандарт.
Преди въвеждането на ECH, Server Name Indication (SNI) — незашифрован компонент от TLS ръкостискането — позволяваше на междинни устройства (включително интернет доставчици, прокси сървъри и защитни стени) да виждат домейна, към който потребителят се свързва. Това позволяваше налагането на политики за достъп, както и наблюдение на мрежовия трафик. С ECH обаче, тази информация вече е криптирана, което значително подобрява поверителността на крайния потребител.
Къде е проблемът за организациите?
Ако подобна технология подобрява сигурността и поверителността, защо да предизвиква тревога за мрежовите администратори? Отговорът се крие в контекста. За много организации — от фирми до училища — контролът върху достъпа до интернет съдържание е ключов елемент от техните политики за сигурност и отговорно използване.
Още през 2015 г. WatchGuard въведе филтриране по категории чрез SNI, дори без да е необходимо пълно разшифроване на TLS трафика. Това позволяваше на защитните стени да блокират неподходящи сайтове, дори ако комуникацията е криптирана чрез HTTPS.
Сега обаче, с въвеждането на ECH, този механизъм вече не е ефективен. Организациите не могат да разчитат само на информацията в SNI, защото тя вече не е видима. Това означава, че традиционните методи за филтриране на криптиран трафик вече не работят, което поставя под въпрос тяхната ефективност в среди като училища и корпоративни мрежи.
Google дори признава този проблем в отговор, генериран от собствената им ИИ система:
„ECH може да затрудни решенията за филтриране на съдържание да идентифицират и блокират сайтове въз основа на домейни, което представлява предизвикателство за легитимни цели по защита, особено в образованието.“
Решението: Пълно TLS дешифриране
Организациите трябва да се адаптират към новите реалности. Най-сигурният и устойчив подход е пълно TLS дешифриране (HTTPS content inspection) в рамките на мрежовата инфраструктура. Това дава възможност за пълен контрол и видимост върху криптирания трафик, включително достъп до адресите и съдържанието на сайтовете, дори когато се използва ECH.
Данните подкрепят тази стратегия — според последния WatchGuard Internet Security Report, 60% от злонамерения софтуер се разпространява чрез криптирани връзки. Това означава, че ако организациите не разшифроват трафика, те пропускат повече от половината от заплахите.
Решенията от ново поколение, като WatchGuard FireCloud, улесняват процеса чрез автоматична инсталация на необходимите HTTPS сертификати за всички крайни устройства, включително такива на отдалечени служители.
Заключение
ECH е важна крачка напред в защитата на поверителността на интернет потребителите, но също така е предизвикателство за киберсигурността в организациите. За да останат ефективни и сигурни, организациите трябва да преминат отвъд старите методи и да внедрят модерни, цялостни решения за наблюдение и контрол върху криптирания трафик. Само така ще успеят да поддържат баланс между правото на поверителност и необходимостта от защита.
