En lisant ce qu'est Encrypted Client Hello chez Cloudflare, je suis tombé sur Oblivious HTTPS / OHTTP / Oblivious DNS-over-HTTPS. Fastly en parle également (via SebSauvage).
En gros, c'est du HTTPS en "double aveugle", une version simplifiée du routage en oignon de TOR : un relai (Fastly ici) connaît le demandeur mais pas le contenu (requête et réponse), et la destination connaît le contenu mais pas l'adresse IP du demandeur. Bref, c'est un proxy transparent.
Je suis très sceptique :
- Si le relai est un des CDNs les plus utilisés du monde (comme Fastly), alors la destination peut être un de ses clients, donc l'entité qui opère le relai accède bien, in fine, à la totalité des informations (contenu et IP du demandeur). Même sans ça, le relai connaît le site web de destination, au moins son adresse IP ou son nom d'hôte (TLS SNI) afin d'être en capacité de lui transférer les demandes, ce qui rend OHTTP pertinent uniquement dans un contexte d'hébergement mutualisé (sens propre ou CDN).
- Pour que le relai ne voit pas le contenu, il ne faut pas qu'il déchiffre la communication. Cela signifie qu'il va retirer une seule donnée identifiante concernant le demandeur : son adresse IP. Or, sur le web, des tonnes d'entêtes permettent de "reconnaître" et de profiler un internaute : le système de son terminal, le modèle et la version de son navigateur web (« User-Agent »), les langues demandées (« Accept-Language »), etc. Le site web consulté recevra ces informations.
Ça rajoute un intermédiaire, ça complexifie un diagnostic, ça n'apporte pas grand chose, et ça n'a d'intérêt que dans un monde d'acteurs hégémoniques.