https://blog.gslin.org/archives/2026/03/04/12913/ech-%e8%ae%8a%e6%88%90-standards-track-%e4%ba%86/

ECH 變成 Standards Track 了

#client #clienthello #ech #encrypted #encryption #esni #header #hello #https #rfc #ssl #standards #tls #track

Как работают ТСПУ и DPI: разбор механизмов фильтрации и блокировок трафика

В последние годы в России активно развивается и применяется инфраструктура фильтрации трафика на уровне провайдеров. Основные технологии, которые используются для этого — ТСПУ (технические средства противодействия угрозам) и DPI (Deep Packet Inspection). В этой статье мы разберём, как именно эти системы видят и классифицируют трафик, на каких полях и протоколах принимаются решения о блокировке, и какие техники применяются для обхода (с точки зрения механики, а не «инструкций»).

https://habr.com/ru/articles/992232/

#тспу #dpi #sni #clienthello #QUIC #TLS #TCP

njs в stream: многоарендность по SNI и динамический upstream из Redis/etcd

Привет, Хабр! Сегодня я хочу разобрать одну конкретную, но до безобразия полезную задачу, с которой мы столкнулись, когда наш сервис стал обрастать клиентами. Задача простая на словах, но с изюминкой: маршрутизировать входящие TLS-соединения в stream-модуле Nginx на разные бэкенд-пулы в зависимости от имени сервера SNI, которое клиент указывает в самом начале рукопожатия. Причем арендаторов могут добавлять каждую пятницу, а перезагружать Nginx каждый раз — это не наш метод. Конфиги должны быть статичными, а вот список арендаторов — динамическим, живущим где-то в Redis или etcd. Перейти к статье

https://habr.com/ru/companies/otus/articles/949944/

#nginx #streamмодуль #njs #SNI #TLS #ClientHello

We’re at the brink of encrypting everything for #TLS web requests that’s possible. The remaining fields:

• Encrypted #ClientHello. Firefox currently tests native HTTPS record querying to support most setups directly. Can be enabled with network.dns.native_https_query.
• Traditional TCP metadata is replaced with QUIC, which e.g. encrypts ACKs after the first key exchange. Automatically included in HTTP/3 and enabled in browsers.
• Related: to protect from quantum computers, use a hybrid quantum-safe key exchange. For #TLS that’s a hybrid of x25519 and Kyber. Can be enabled in Firefox with security.tls.enable_kyber.
• DNS requests. The last place to get the domain name for many unencrypted. Choose a trusted DNS resolver and use DoT or DoH if possible. Later on, the world also tries to secure recursive-authoritative queries with ADoQ and ADoT.

Some of this stuff can be tested with https://crypto.cloudflare.com/cdn-cgi/trace

Server-side support for HTTP/3 and ECH is still very much a minority, but we’re getting there.

#OpenSSL : mise en lumière de deux vulnérabilités… il est vivement conseillé de mettre à jour vers la version – patchée – 1.1.1k !

https://blog.sosordi.net/2021/03/openssl-mise-en-lumiere-de-deux-vulnerabilites-il-est-vivement-conseille-de-mettre-a-jour-vers-la-version-patchee-1-1-1k.html

#securite #miseAjour #certification #ClientHello