Salut En supposant qu’une IP héberge 1000 serveurs il faut comparer combien coûte le temps de décryptage avec 1000 clés et le temps de téléchargement de tout le JS qu’il y a avec les sites actuels. Probablement que l’on peut garder en cache certaines valeurs (avec une lecture rapide du RFC je n’ai pas vu de « salt value » pour se prémunir contre ça). Ainsi, sur la base de la technologie DPI multi-10Gbps que j’ai créée en 2008, j’ai l’impression qu’il serait possible d’attaquer cette obfuscation avec les processeurs d’aujourd’hui.
> On 4 Mar 2026, at 09:12, Stephane Bortzmeyer via frnog <[email protected]> > wrote: > > Fini de pouvoir lire le nom du serveur demandé dans le ClientHello des > sessions TLS. ECH fournit un mécanisme normalisé (et déjà largement > déployé) pour chiffrer ce ClientHello. Combiné avec la sécurisation du > DNS (DoT, DoH, etc), cela rendra plus difficile la tâche des > surveillants et des censeurs (en Russie, la principale technique de > censure Internet est de faire du DPI, trouver le SNI, puis envoyer un > paquet TCP RST mensonger). > > https://www.bortzmeyer.org/9849.html > > Un exemple de clé ECH publiée : > > % dig acg.re HTTPS > > ; <<>> DiG 9.18.39-0ubuntu0.24.04.2-Ubuntu <<>> acg.re HTTPS > ;; global options: +cmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24061 > ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 > > ;; OPT PSEUDOSECTION: > ; EDNS: version: 0, flags: do; udp: 1232 > ;; QUESTION SECTION: > ;acg.re. IN HTTPS > > ;; ANSWER SECTION: > acg.re. 300 IN HTTPS 1 . alpn="h3,h2" > ipv4hint=188.114.96.2,188.114.97.2 > ech=AEX+DQBBkwAgACBWHwZUsHCDCes12P4FmzhMr8hobvXAFs52N9INmeqYUQAEAAEAAQASY2xvdWRmbGFyZS1lY2guY29tAAA= > ipv6hint=2a06:98c1:3120::2,2a06:98c1:3121::2 > acg.re. 300 IN RRSIG HTTPS 13 2 300 ( > 20260305085257 20260303065257 34505 acg.re. > ppk8BIk66a0xpw2CW7EepGvtfIY1wkLFcyUQfVymY54B > FBjx/ReGrdwnZJpIlqpu24mawJIHOuOOvt/s7Gjw8A== ) > > ;; Query time: 53 msec > ;; SERVER: 192.168.2.254#53(192.168.2.254) (UDP) > ;; WHEN: Wed Mar 04 08:52:57 CET 2026 > ;; MSG SIZE rcvd: 285 > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
