Firefox Nightly现在开始支持加密TLS服务器名称指示(Server Name Indication,SNI)扩展套件,而这将能避免攻击者窥探用户的浏览历史纪录。用户现在可以在Firefox Nightly中激活该功能,浏览支持该技术的网站将自动运行,目前仅支持在Cloudflare上托管的网站。
用户的浏览历史纪录泄漏有四种主要渠道,包括TLS凭证消息、DNS名称解析、服务器的IP位置以及TLS服务器名称指示。这些渠道正一个一个被关闭,由于新的TLS 1.3标准默认加密服务器凭证,而且Mozilla也一直探索以DNS over HTTPS来保护DNS流量,因此其中两个渠道的攻击者已经无法使用。
不过,服务器的IP位置仍然是个问题,由于多个网站会共享同一个IP位置,所以仍留有服务器名称指示的信息。当用户连接到服务器时,服务器需要用户提供正确的凭证,以证明自己非攻击者,但当一个IP位置有多个服务器,则需要服务器名称指示信息告诉服务器,用户尝试连接的主机名称,以允许服务器选择正确的凭证,而这对于大规模TLS托管工作很有帮助。
但服务器名称指示却是个严重的隐私问题,因为会暴露用户的浏览历史纪录,原本应该加入TLS 1.3的规范当中,但因为性能权衡以及支持度的关系,并非每一个网站都会支持,这样反而让使用加密服务器名称指示功能的网站曝露其特殊性,因此委员会最终决定不放入TLS 1.3中。
Mozilla现在找上了内容传递网络(Content Delivery Network,CDN)供应商,由于这些供应商会在同一台机器托管多个网站,因此只要愿意支持加密服务器名称指示,有心人士也顶多知道用户连接这些供应商,而无法准确知道是哪个网站。
Mozilla提到这是一个全新技术,Firefox率先进行支持,用户可以激活Firefox Nightly中的加密服务器名称指示功能,并会在浏览托管于Cloudflare的网站时发挥作用。