FIREFOX ne prend plus en charge eSNI

[Parisien_entraide]

2021-03-07_181831.jpg

LE TEST

https://www.cloudflare.com/fr-fr/ssl/encrypted-sni/


Avant la version 85 de Firefox, et actuellement avec la version 78.x on pouvait arriver à cela

Firefox SNI.jpg

(J'ai un "secure DNS", crypté, qui n'est pas Cloudflare ni Google mais il ne peut être lu)



Normalement la version 85 de Firefox ne prend plus en charge ESNI (la version ESR si ) mais prendra en charge ECH..


ECH C'EST QUOI ?

____________________________
Encrypted Client Hello ( ECH ) est une extension de protocole TLS 1.3 qui permet le chiffrement de l'ensemble du message Client Hello, qui est envoyé au début de la négociation TLS 1.3. ECH crypte la charge utile avec une clé publique que la partie de confiance (un navigateur Web) doit connaître à l'avance, ce qui signifie qu'ECH est plus efficace avec les grands CDN connus à l'avance des fournisseurs de navigateurs.

La version initiale 2018 de cette extension s'appelait Encrypted SNI ( ESNI ) [10] et ses implémentations ont été déployées de manière « expérimentale » pour faire face à ce risque d'écoute de domaine. [11] [12] [13] Contrairement à ECH, le SNI crypté a crypté uniquement le SNI plutôt que l'ensemble du client Hello. [14] La prise en charge de l'opt-in pour cette version a été intégrée à Firefox en octobre 2018 [15] et nécessitait l'activation de DNS-over-HTTPS. [16]

En mars 2020, ESNI a été retravaillé dans l'extension ECH, après qu'une analyse ait démontré que le cryptage seul du SNI est insuffisant. Par exemple, les spécifications permettent à l'extension de clé pré-partagée de contenir toutes les données pour faciliter la reprise de session, même la transmission d'une copie en clair du même nom de serveur qui est crypté par ESNI. En outre, le cryptage des extensions une par une nécessiterait une variante cryptée de chaque extension, chacune ayant des implications potentielles sur la confidentialité, et même qui exposerait l'ensemble des extensions annoncées. Enfin, le déploiement dans le monde réel d'ESNI a révélé des limites d'interopérabilité. [17] Le nom abrégé était ECHO en mars 2020 [14] et a été changé en ECH en mai 2020. [18]

ESNI et ECH ne sont compatibles qu'avec TLS 1.3 car ils reposent sur KeyShareEntry qui a été défini pour la première fois dans TLS 1.3. [19] [20] Aussi, pour utiliser ECH, le client ne doit pas proposer de versions TLS inférieures à 1.3. [21]

En août 2020, le grand pare-feu de Chine a commencé à bloquer le trafic ESNI, tout en autorisant le trafic ECH. [22]

En octobre 2020, le FAI russe Rostelecom et son opérateur mobile Tele2 ont commencé à bloquer le trafic ESNI. [23] En septembre de la même année, un ministère de la censure russe Roscomnadzor a prévu d'interdire une gamme de protocoles de cryptage parmi lesquels TLS 1.3 et ESNI qui ont entravé la censure d'accès au site Web



Source et détails à https://en.wikipedia.org/wiki/Server_Na ... ient_Hello
__________________


CE QUE DIT MOZILLA

ESNI
https://blog.mozilla.org/security/2018/ ... x-nightly/

ESNI vvers ECH
https://blog.mozilla.org/security/2021/ ... n-firefox/



Le soucis étant qu'en face (les serveurs) ne prennent pas en charge ECH et.. chez Mozilla ils ont supprimé ESNI (?)
Le test de Cloudflare révèle que le SNI n'est pas chiffré actuellement'(depuis la version 85) et même lorsque la fonctionnalité ECH est activée dans Firefox, cela indique que le fournisseur par défaut, qui est Cloudflare, ne l'a pas encore activée.


On peut cependant activer la fonctionnalité si ce n'est déjà fait, mais cela ne change rien puisque Clouflare a investi dans ESNI au lieu de ECH




Les utilisateurs de Firefox peuvent l'activer de la manière suivante:

--------
Chargez about: config dans la barre d'adresse de Firefox.


Recherchez network.dns.echconfig.enabled.
Définissez la préférence sur TRUE pour l'activer.

Recherchez network.dns.use_https_rr_as_altsvc.
Définissez la préférence sur TRUE pour l'activer.

Redémarrez le navigateur Web Firefox.
-----------

Pour rappel la Chine interdit TLS 1.3 et ESNI, sinon ils ne peuvent pas espionner (pour ceux qui voyagent en Chine)

ESNI, qui signifie Encrypted Server Name Indication, et est une fonction de sécurité et de confidentialité conçue pour se protéger contre les écoutes clandestines du réseau.


(Avec le SNI on récupère le nom de domaine sur 99,9% du trafic https au contraire de eSNI qui permet de chiffrer le SNI)



On voit donc l'intérêt de la chose !


Les devs eux non, et il n y a eu aucune discussion possible .. Enfin presque
https://bugzilla.mozilla.org/show_bug.cgi?id=1689249


Actuellement il y a un trou
Donc pourquoi enlever ESNI malgré le fait qu' ECH soit plus efficace mais.. que personne n'utilise. Ils ne pouvaient pas attendre ? (et on risque d'attendre longtemps qu ECH soit utilisé)

Raison officielle "ESNI fournissait une protection incomplète et présentait «des problèmes d'interopérabilité et de déploiement qui l'empêchaient d'être activé à une plus grande échelle».



SAUF que cela fonctionnait (je l'avais a activé depuis sa sortie chez moi sur la version ESR)


Alternative pour l'instant : La version 78.8 en ESR




Vu le message politique du dirigeant de MOZILLA, et la chasse aux pro-Trump, la chasse à ceux qui ne pensent pas comme il le faudrait etc, on peut se poser des questions de savoir à qui cela sert et pourquoi surtout


Autre mauvaise nouvelle, à terme (pas de date fixée) c'est que le fichier user.js risque de disparaître
Ce qui fait que lors de mises à jour de Firefox on ne saura pas toujours ce qui est modifié dans le prefs.js à la différence du user.js, si on y a effectué des modifications (un peu comme les maj de Microsoft qui remettent par défaut dans notre dos certains paramètres)


En attendant on peut toujours se servir de :
https://ffprofile.com/



___________________

RAPPEL :

Déclaration de Mitchell Baker, Présidente de Mozilla

2021-03-07_182238.jpg

https://blog.mozilla.org/blog/2021/01/0 ... atforming/


Il ne fait aucun doute que les médias sociaux ont joué un rôle dans le siège et l’assaut du Capitole américain le 6 janvier.

Mais aussi répréhensibles que soient les actions de Donald Trump, l’utilisation effrénée d’Internet pour fomenter la violence et la haine, et renforcer la suprématie blanche, ne concerne pas qu’une seule personnalité. Donald Trump n’est certainement pas le premier homme politique à exploiter l’architecture de l’internet de cette manière, et il ne sera pas le dernier. Nous avons besoin de solutions qui ne commencent pas après que des dommages incalculables aient été causés.

Pour changer ces dynamiques dangereuses, il ne suffit pas de réduire temporairement au silence ou de retirer définitivement les mauvais acteurs des plateformes de médias sociaux.
Il faut également prendre des mesures supplémentaires précises et spécifiques :

Révéler qui paie les publicités, combien elles coûtent et qui est visé.
S’engager à une transparence significative des algorithmes des plateformes afin que nous sachions comment et quel contenu est amplifié, à qui, et l’impact associé.

Activer par défaut les outils permettant d’amplifier les voix factuelles (1) par rapport à la désinformation.

Travailler avec des chercheurs indépendants pour faciliter des études approfondies sur l’impact des plateformes sur les personnes et nos sociétés, et sur ce que nous pouvons faire pour améliorer les choses.

Ce sont des actions que les plateformes peuvent et doivent engager dès aujourd’hui. La réponse n’est pas d’éliminer Internet, mais d’en construire un meilleur qui puisse résister et se préparer à ce type de défis. C’est ainsi que nous pouvons commencer à le faire.

(1) https://www.nytimes.com/2020/12/16/tech ... urces.html

___________

C'est quoi la prochaine étape ?
Des pop up dans Firefox pour nous inciter à "bien penser" ?
Des camps de redressement ?
Une lobotomie ?


Mitchell Baker, Présidente de Mozilla, qui est une fondation il faut se le rappeler, qui existe en partie avec l'argent de donateurs, ferait mieux de s'attacher à revoir les priorités de dépenses, elle qui "a reçu 2,4 millions de dollars en 2018,. Les paiements à Baker ont plus que doublé au cours des cinq dernières années."
En fait pendant la période 2008-2018, sa paie a augmenté de 400% (histoire peut être de compenser la perte de casquettes de différents postes où elle a été incitée à démissionner)


Aucun Président d' ONG/Fondation à travers le monde n'a un PDG qui s'octroie un salaire aussi important
A côté de cela elle vire des employés, s'est lancée par le passé à des objectifs hasardeux, comme une IA, un OS, sans compter les 25 millions de dollars pour acheter la startup de gestion des listes de lecture, Pocket. et autres

Dans les gens virés, il y avait ses collaborateurs les plus expérimentés et développeurs de haut niveau, comme Liz Henry, alors responsable des versions de Firefox, et aujourd'hui responsable des versions de Twitch, une partie de l'équipe en charge de Rust etc

Mitchell Baker, PDG a attribué cette vague de licenciement à la pandémie de coronavirus.

https://www.developpez.com/actu/309084/ ... e-Mozilla/

[Parisien_entraide]

Juste pour rappeler pour ceux qui utilisaient jusqu'à il y a quelques jours la version 78.x ESR de Firefox, et qui se voient proposer la version 93.x ESR, que la fonction ESNI disparait au profit d'ECH

Je testerai pour savoir si il est toujours possible de passer par about:config afin de modifier mais surtout si ce paramètre, si il apparait
network.security.esni. en enabled est toujours fonctionnel


Comme l'a souligné un utilisateur :
_________________
"Les développeurs de Mozilla étaient plus préoccupés par le fait de permettre à la NSA d'espionner les «électeurs de Trump», que de protéger les manifestants pro-démocratie contre l'emprisonnement par la Chine et le prélèvement de leurs organes dans les prisons chinoises.

Le grand pare-feu de Chine a bloqué ESNI + DoH (car cela a fonctionné), mais autorise volontiers ECH (car PERSONNE N'UTILISE ECH).

Mozilla prétend soutenir un Internet gratuit, tout en essayant d'interdire les « pensées erronées ».
______________

Accessoirement : (et sans utiliser des lignes de code dans userCrome.css )

En version ESR, pour ceux qui n'aiment la nouvelle interface et qui veulent récupérer une interface plus petite, il suffit dans : about:config
de chercher :

browser.uidensity et de passer la valeur à 1

[Parisien_entraide]

Confirmé :

En version 91.x ESR, meme en créant une valeur de type

Code : Tout sélectionner

network.dns.esniconfig.enabled

à TRUE (ce qui fonctionnait avant)
Source : https://blog.mozilla.org/security/2018/ ... x-nightly/

la commande est dévaluée (pas prise en compte)

Ce qui fait qu'en effectuant un test sur

https://www.cloudflare.com/fr-fr/ssl/encrypted-sni/

Cela donne (je suis parti d'un profil vierge de modules complémentaires) :

2021-11-04_080923.png

Cependant je n'ai pas pris les DNS de clouflare contrairement à ce qui est indiqué (il s'agit d'autres DNS qui font la même chose)