Firefox 版本 118 引入了一项重要的安全增强机制,它就是 Encrypted Client Hello (ECH:加密客户端),并在版本119以后自动启用。当年浏览网络,你的数据需要受到保护,因为网络上充满了偷窥的眼睛。许多在线沟通使用了一种叫做传输层安全(TLS)的安全协议,它通过加密你的数据保护安全。不过,有个问题。这种安全沟通要通过发起 “hello” 开始,又称“握手”。不幸的是,这种握手是公开的,它暴露了一些敏感信息,比如你要访问的网站。
ECH 针对的就是 TLS 协议中的这个弱点。如果使用 ECH,你发起的 “hello”信息是安全加密的。只有你要访问的网站可以解密。保证了信息全程私密。简单来说,ECH 像个守卫,它让人很难知道你要访问哪个网站,保护在线活动,增强隐私。
ECH 依靠 DNS over HTTPS (DoH) 才能工作,这是它获取加密密钥的方式。两者相加构成了更强壮的隐私壁垒,因为 DoH 专注于加密 DNS 请求,保护域名到 IP 之间的翻译;而 ECH 加密访问设备到网站之间的初始握手,保护沟通建立过程。
这种联合解决了孤立使用技术的弱点,确保全面的在线隐私。遵从 Mozilla 致力于打造隐私和安全的 Firefox 的初衷,ECH 默认启用并尽可能起作用。ECH 依赖通过 DoH 获取的 DNS 记录,所以你需要 启用。使用带有加密的 DNS 传输,比如 DoH,对浏览数据非常重要,它保护不像非加密的 DNS 协议那样容易泄露。当 DNS 通过诸如 DoH 这样的加密传输时,ECH 获得最好的隐私保护。所以我们建议在 Firefox 启用 DoH。
如果你使用了安全软件或者部署了企业环境的 Firefox,那么你无需更改配置。如果配置了任何 DoH opt-outs,那么 Firefox 都不会使用 ECH 加密数据。同样的,如果安全软件活企业环境配置 Firefox 使用透传代理,那么 ECH 也不会启用。 如果软件是浏览器集成的扩展、DNS 过滤器或透传协议,那么大多数家用或企业安全软件都应该能够和 ECH 一起工作,无需额外修改。如果你使用了其他安全设置,ECH 也可以通过企业政策禁用。
而且,你上网时,你的网络服务提供商(ISP)也可能会 搜集你上网的信息,比如使用深度包检查等入侵式手段。这时,ECH 就能改变一切。它阻止 ISPs 收集你的浏览信息,让他们无法未经允许为你画像并销售。因此有了 ECH,你的数据保有隐私,他们很难据此为你画像。
还有好处,如果你同时使用 ECH 和诸如 Mozilla VPN 这样的 VPN 服务,那么你的在线隐私就多了一重保护。VPN 是一个安全通道,隐藏你的身份,而 ECH 让初始 “hello” 信息免受网络监控。关于联合使用 VPN 和 Firefox ECH 的更多信息,请参看 Encrypted Client Hello (ECH)——常见问题。
更多