Mozilla在今年10月宣佈Firefox Nightly版本支持加密TLS服務器名稱指示(SNI),這有助於防止網絡上的攻擊者瞭解你的瀏覽歷史記錄。用戶可以啟用加密SNI功能,當訪問支持加密SNI的網站時它將自動生效。
什麼是加密SNI
什麼是加密SNI?
SNI擴展(Server Name Indication, 服務器名稱指示)定義在RFC 4366,主要用於同一IP配置多個HTTPS主機 的場景中,它允許客戶端在發起SSL握手請求時(具體說來,是客戶端發出SSL請求中的ClientHello階段)就提交請求的主機名,即使同一IP地址上有多個服務器,也能快速切換到正確域名並返回正確的證書,SNI字段有助於大規模的TLS託管工作。
然而,客戶端在發送ClientHello的階段尚未建立SSL加密連接,ClientHello消息是未加密的,如果ISP、無線WiFi等網絡路徑上的監控者攔截客戶端所請求的主機名,就可以跟蹤到用戶正在訪問的站點。
什麼是加密SNI
加密SNI (ESNI)是TLS 1.3協議的擴展,它可以阻止ISP、無線WiFi和其他監控者攔截TLS服務器名稱指示(SNI),防止用戶訪問網站的瀏覽記錄被洩露,加密SNI讓使用HTTPS流量的互聯網用戶更加難以被跟蹤。
什麼是加密SNI
Firefox Nightly如何設置加密SNI?
使用加密SNI也需要客戶端和服務器端同時滿足條件,Firefox Nightly是首個支持該功能的瀏覽器,Nightly用戶現在可以通過執行以下步驟來嘗試這項增強功能:首先,您需要確保啟用了基於HTTPS的DNS;完成後,您還需要在about:config中將“network.security.esni.enabled”首選項設置為“true”),這應該會自動為支持它的任何站點啟用加密SNI (ESNI)。需要注意的是,加密SNI是TLS 1.3及更高版本的擴展,TLS 1.3以下的協議版本不支持此功能。
啟用HTTPS加密帶來的安全性能提升已經遠超HTTP時代,而加密SNI的應用更像是未來HTTPS加密時代進一步提升安全性的技術策略,在TLS 1.3主流化之前仍然有較長的普及期。所以,目前所有網站的當務之急是儘快啟用HTTPS加密步入HTTPS時代,以便在新的安全技術來臨時,能夠快人一步佔據先機。沃通SSL證書由全球信任頂級根簽發,支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各類瀏覽器、操作系統和移動終端,具備廣泛兼容性,可用於網站、APP等各類服務器升級HTTPS加密,網站所有者花費更低成本、輕鬆步入HTTPS加密時代。
來源:https://www.wosign.com/faq/faq_2018110501.htm
瞭解更多HTTPS相關資訊,關注沃通 SSL證書
閱讀更多 沃通WoTrus 的文章
