Как работает технология Encrypted ClientHello в современных браузерах?

Технология Encrypted Client Hello (ECH) добавляет дополнительный этап шифрования на ранней стадии установки TLS-соединения. habr.com

Процесс работы: habr.com

1. Браузер, поддерживающий ECH, использует публичный ключ, предоставленный сервером через DNS, чтобы зашифровать своё «Client Hello». habr.com
2. Сервер, получивший этот запрос, может расшифровать его с помощью своего приватного ключа и продолжить установку защищённого соединения, сохранив SNI скрытым от посторонних глаз. habr.com
3. Если сервер не поддерживает ECH, браузер может откатиться к стандартному поведению, отправив SNI в открытом виде. habr.com

ECH разделяет Client Hello на две части: adguard.com

1. Внешняя часть содержит неконфиденциальную информацию, например имя клиентского сервера. adguard.com
2. Внутренняя часть содержит SNI, указывающий на доменное имя внутреннего сервера, который и является тем сайтом, который нужно посетить. adguard.com

Клиентский сервер выступает в роли посредника со специальным ключом дешифровки, с помощью которого он открывает внутреннее письмо и видит имя нужного сайта. adguard.com Затем он перенаправляет запрос на реальный домен и затем возвращает ответ. adguard.com

Для полноценной работы ECH необходимо, чтобы не только браузер, но и сервер поддерживал этот протокол, а также была корректно настроена DNS-запись с публичным ключом. habr.com