HTTPS 보안 통신 과정에서 SNI(서버 이름 표시) 부분이 노출돼 실제 연결하는 사이트를 중간에서 알 수 있다는 문제가 등장하자, 

파이어폭스에서는 2년 전쯤 'SNI 암호화' 또는 'ESNI'(Encrypted SNI)라고 부르는 기술을 시범 도입했습니다.

  2018년 새로운소식 게시판 글 ' 클라우드플레어, SNI 암호화 (ESNI) 시범 적용 개시 ' 글 참조

 

이후 논의 과정에서 SNI만 암호화하는 것은 통신 내용을 중간에서 알 수 없게 하기에 불충분하다고 판단해,

서버와 통신을 시작한다는 내용을 뜻하는 'ClientHello' 부터 보안 통신에 필요한 과정을 폭넓게 암호화한다는 방안이 새로 제시됐습니다.

이에 따라 이름도 ESNI에서 'ECH'로 변경된다고 합니다.

 

요약

1. 파이어폭스 85 버전부터는 여러 커뮤니티에서 팁으로 알려졌던 about:config 페이지에서 ESNI 설정하는 부분이 사라집니다.

2. 대신 국제인터넷표준화기구(IETF)에 제출된 8번째 기술초안(  draft-ietf-tls-esni-08 )에 담긴 ECH와 관련된 설정이 추가됩니다. 

(이후에도 업데이트될 예정)

3. 자동으로 적용될 때까지 기다리는 것을 추천하지만, 미리 사용하고 싶은 유저는 about:config에서 

아래 두 항목 ―user_pref 괄호 안에 있는 내용― 을 찾아 true로 변경합니다

user_pref("network.dns.echconfig.enabled", true);
user_pref("network.dns.use_https_rr_as_altsvc", true);

 

참조

※ ESNI 때와 마찬가지로 ECH는 서버에서도 지원해야 암호화 통신이 가능합니다.

※ ECH에 대한 기술 내용은 클라우드플레어에서 올린 " Good-bye ESNI, hello ECH! " (영어)를 참조하십시오.

※ 파이어폭스 ESR (Extended Support Release) 버전은 당분간 이전 ESNI 기능을 계속 지원한다고 합니다.

 

□ 출처

- Encrypted Client Hello: the future of ESNI in Firefox | Mozilla Security Blog 요약