Fini de pouvoir lire le nom du serveur demandé dans le ClientHello des sessions TLS. ECH fournit un mécanisme normalisé (et déjà largement déployé) pour chiffrer ce ClientHello. Combiné avec la sécurisation du DNS (DoT, DoH, etc), cela rendra plus difficile la tâche des surveillants et des censeurs (en Russie, la principale technique de censure Internet est de faire du DPI, trouver le SNI, puis envoyer un paquet TCP RST mensonger).
https://www.bortzmeyer.org/9849.html Un exemple de clé ECH publiée : % dig acg.re HTTPS ; <<>> DiG 9.18.39-0ubuntu0.24.04.2-Ubuntu <<>> acg.re HTTPS ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24061 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 1232 ;; QUESTION SECTION: ;acg.re. IN HTTPS ;; ANSWER SECTION: acg.re. 300 IN HTTPS 1 . alpn="h3,h2" ipv4hint=188.114.96.2,188.114.97.2 ech=AEX+DQBBkwAgACBWHwZUsHCDCes12P4FmzhMr8hobvXAFs52N9INmeqYUQAEAAEAAQASY2xvdWRmbGFyZS1lY2guY29tAAA= ipv6hint=2a06:98c1:3120::2,2a06:98c1:3121::2 acg.re. 300 IN RRSIG HTTPS 13 2 300 ( 20260305085257 20260303065257 34505 acg.re. ppk8BIk66a0xpw2CW7EepGvtfIY1wkLFcyUQfVymY54B FBjx/ReGrdwnZJpIlqpu24mawJIHOuOOvt/s7Gjw8A== ) ;; Query time: 53 msec ;; SERVER: 192.168.2.254#53(192.168.2.254) (UDP) ;; WHEN: Wed Mar 04 08:52:57 CET 2026 ;; MSG SIZE rcvd: 285 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
