문서의 임의 삭제는 제재 대상으로, 문서를 삭제하려면 삭제 토론을 진행해야 합니다. 문서 보기문서 이동문서 삭제토론 SNI (문단 편집) ===# ESNI #=== '''ESNI는 후술할 ECH에 대체되었으므로 ECH항목을 참조하라''' [* 국제 인터넷 표준화 기구 IETF의 [[https://datatracker.ietf.org/doc/html/draft-ietf-tls-esni-14|ECH 표준화 기술 명세]] ] [[2018년]] [[7월 2일]]에 [[Apple|Apple]], [[Cloudflare]], Fastly, [[모질라 재단|Mozilla]]에 의해 작성된, TLS 1.3을 전제로 한 확장 규격으로서의 [[https://tools.ietf.org/html/draft-rescorla-tls-esni-00|SNI 암호화 규격의 초안 문서]]가 IETF에 등재됐다. '''Encrypted Server Name Indication''', 줄여서 '''ESNI''' 라고 한다. [[2018년]] [[9월 24일]]에 Cloudflare가 위 초안 규격에 의한 [[https://blog.cloudflare.com/encrypted-sni-ko/|ESNI 시범 서비스를 개시]]했다. [[2018년]] [[12월 12일]]부터 Firefox의 최신 안정화 버전에서 ESNI 지원이 시작되었다. 반면 2019년 2월 기준 엣지, 크롬 등 다른 브라우저에서는 지원되지 않는다. 이 ESNI 구현은 클라이언트 브라우저에 서버의 공개키가 전달되는 시점을 DNS 통신 단계로 앞당겨서, 서버와 연결하는 시점에 해당 공개키로 도메인이 암호화될 수 있도록 하는 것이다. 파이어폭스는 ESNI 구현이 DNS 통신의 암호화가 이루어지지 않는 상황에서는 별 의미가 없다는 점을 들어, ESNI가 작동하려면 DoH(DNS over HTTPS)가 활성화되어 있을 것을 요구하고 있다. 차후 운영체제 기능에 DNS 통신 암호화가 구현되거나 플래그 등이 만들어져서 암호화 통신인지 아닌지를 구분할 수 있게 된다면 운영체제 기능으로도 ESNI를 쓸 수 있도록 제약이 풀릴 듯. ||<(><-2> [[Firefox|파이어폭스]](버전 64~84)에서의 활성화 방법 1. 파이어폭스 주소창에 about:config 를 쳐서 고급 설정창에 접속한다. 경고 메시지가 뜨면, 「위험을 감수하겠습니다!」 버튼을 눌러 진행한다. 1. 화면 상단의 검색창에 trr이라고 입력한다. 자동으로 검색이 이루어진다. 1. network.trr.mode라는 설정값의 숫자를 2로 바꾼다.[* TRR관련 설정은 브라우저 설정창의 네트워크 설정에서도 접근 가능하고, 여기서 편집하는것을 권장한다.] 1. 만약에 network.trr.uri가 비어있다면 [[https://mozilla.cloudflare-dns.com/dns-query]]로 바꾼다. 최신 버전을 신규 설치하였을 경우 이 부분에 이미 해당 주소값이 입력되어 있으므로, 건드릴 필요 없다. 1. 화면 상단의 검색창에서 trr을 지운 다음 esni라고 입력하여 검색한다. 1. network.security.esni.enabled를 true로 바꾼다. 1. 고급 설정창을 닫는다. || ||<-2> 조금 더 설정하고 싶은 사람들을 위한 설명 || ||{{{network.trr.mode}}} ||0은 기본값(현재는 해당 기능을 사용하지 않음), 1은 DNS와 DoH[* DNS over HTTPS] 중 빠른 쪽을 택해서 접속, 2는 DoH 접속을 먼저 시도한 다음 실패하면 DNS로 접속, 3은 DoH만 이용, 5는 이 기능을 완전히 꺼버림. || ||{{{network.trr.uri}}} ||DoH를 이용할 주소. DoH의 정의상 반드시 https://로 시작하는 주소라야 한다. 현재 사용가능한 주소는 [[https://mozilla.cloudflare-dns.com/dns-query]]와 [[https://dns.google.com/experimental]], [[https://dns.quad9.net/dns-query]] 그리고 [[https://dns.adguard.com/dns-query]]등이 있다. || ||{{{network.trr.bootstrapAddress}}} ||위 {{{network.trr.uri}}}에 기재된 DoH 서버의 IP 주소. DoH 서버에 접속하는 초기단계에 서버명을 IP주소로 변환해야 하는데, 보통 이는 기본 DNS를 이용하여 이뤄지지만 기본 DNS가 DoH 서버를 막는 경우나 또는 기본 DNS를 전혀 쓰지 않는 경우 (즉 {{{network.trr.mode}}}를 3으로 설정한 경우) DoH 서버명을 수동으로 변환한 결과를 여기에 입력한다. [[https://dns.google.com/]]등의 DNS도구로 DoH 서버명을 변환하여 나온 결과를 적어주면 된다. {{{mozilla.cloudflare-dns.com}}} → 104.16.248.249, {{{dns.google.com}}} → 8.8.8.8 이런 식이다.|| ||{{{network.trr.wait-for-portal}}} ||와이파이 접속시 처음에 광고 페이지 등이 강제로 뜨는지 확인할지의 여부. 그런 광고 페이지에서는 보통 DoH를 이용할 수 없기 때문에 존재하는 옵션이다. 되도록이면 기본값인 true로 놔두고 건드리지 말자. || ||{{{network.trr.confirmationNS}}} ||위 wait-for-portal을 확인하기 위해서 쓰는 사이트 주소. 기본값은 [[http://example.com]]이다. 건드릴 필요 없다. || Firefox 브라우저를 재시작[* 최신 Nightly 버전의 경우 재시작할 필요 없이 곧바로 설정이 적용되지만, 잘 안 되는 경우도 있기 때문에 가급적 한번 완전히 껐다 켜주는 것이 확실하다.]한 후 [[https://www.cloudflare.com/ssl/encrypted-sni/|클라우드플레어 ESNI Checker 사이트]]에서 정상적용 여부를 확인할 수 있다. 단, DNS가 클라우드플레어가 아닌 경우 Secure DNS 항목은 불확실할 수 있다. 자잘한 팁으로, 가끔 ESNI 작동이 풀릴 경우 network.trr.mode 및 network.security.esni.enabled 설정을 바꿨다가 복원하면 기능이 돌아온다. 클라우드플레어를 이용하는 개별 웹사이트에서 암호화 여부를 알고 싶다면, 도메인 뒤에 /cdn-cgi/trace를 붙여 접속하면 된다. 나무위키라면 [[https://namu.wiki/cdn-cgi/trace]]로, 파이어폭스에서 위 설정을 마친 뒤 접속하면 tls=TLSv1.3, sni=encrypted라는 값이 나올 것이다. [[2018년]] [[10월 24일]], 미국 [[오레곤]] 상원의원 Ron Wyden이 미국 국토안보부에 국내 기업들에 대한 DNS 암호화 및 ESNI의 적용을 지원할 수 있도록 움직여달라고 요청하였다. [[https://www.wyden.senate.gov/imo/media/doc/wyden-encrypted-sni-letter-to-dhs.pdf|#]] '''2021년 1월 26일에 출시되는 Firefox 85부터는 후술할 ECH로 대체되어 지원이 삭제되며 [[https://www.mozilla.org/en-US/firefox/all/#product-desktop-esr|ESR 버전]]도 2021년 11월 2일에 91로 상향되며 지원 종료, ESR 버전의 포크인 [[https://www.waterfox.net/|Waterfox]]조차도 동년 11월 5일에 G4로 상향되며 지원을 종료했다. 따라서 기존 ESNI를 사용할 수 있는 브라우저는 더 이상 없다.'''저장 버튼을 클릭하면 당신이 기여한 내용을 CC-BY-NC-SA 2.0 KR으로 배포하고,기여한 문서에 대한 하이퍼링크나 URL을 이용하여 저작자 표시를 하는 것으로 충분하다는 데 동의하는 것입니다.이 동의는 철회할 수 없습니다.캡챠저장미리보기