GuiGui's Show

+ RFC 9848: Bootstrapping TLS Encrypted ClientHello with DNS Service Bindings
+ RFC 9934: Privacy-Enhanced Mail (PEM) File Format for Encrypted ClientHello (ECH)

TLS ECH (Encrypted Client Hello), évolution du cahier des charges fonctionnel d'Encrypted SNI (ESNI), est normalisé. \o/

[…] quand un client TLS se connecte, il envoie en clair au serveur le nom de domaine utilisé, le serveur ayant besoin de cette information pour choisir le bon certificat qui servira pour choisir les paramètres de chiffrement qui protégeront le reste de la session. Cet envoi en clair pose un problème de vie privée, et est parfois utilisé pour la censure, par exemple en Russie. Il faut donc chiffrer ce nom annoncé, ce SNI. Mais avec quelle clé, puisqu'on a besoin du nom pour avoir une clé ? Ce RFC fournit un mécanisme pour cela, ECH (Encrypted Client Hello), qu'on pourrait traduire par « salutation chiffrée ».