Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Comment activer le chiffrement SNI (encrypted SNI) ?

Au moment où vous avez configuré votre navigateur pour qu’il fonctionne avec des DNS-over-HTTPS, vous avez peut être constaté via la page de test de Cloudflare, que cette dernière vous indiquait que votre SNI n’était pas chiffré.

Mais qu’est ce que c’est encore que ce truc, me direz-vous ? Et bien le SNI pour Server Name Indication est ce qui expose le nom d’hote du serveur sur lequel vous vous connectez lorsque vous établissez une connexion, y compris TLS. Et cela peut évidemment en dire un peu trop sur vous et vous exposer en terme de vie privée.

Heureusement, il est possible de le chiffrer afin que le nom d’hote de votre ordinateur reste secret lorsque vous visitez un site qui a activé cette possibilité.

Et par chance, la société Cloudflare qui gère un sacré paquet de sites web, propose cette fonctionnalité activée par défaut pour tous les sites dont elle s’occupe. C’est encore loin d’être gagné car c’est un peu le chat qui se mort la queue en terme d’implémentation mais si les hébergeurs jouent le jeu, cela permettra d’augmenter le niveau de sécurité global des internautes.

En attendant, si vous voulez activer le SNI chiffré côté navigateur, pour être protégé à minima lorsque vous surfez sur des sites clients de Cloudflare, voici comment faire sous Chrome et Firefox.

Activer le chiffrement SNI sous Firefox

Alors sous Firefox, vous devez entrez le texte suivant dans le champs réservé aux URL :

about:config

Puis dans le champs de recherche, tapez SNI. Vous devriez alors vous le paramètre nommé :

network.security.esni.enabled

Passez sa valeur à « True » en double cliquant dessus, puis relancez votre navigateur.

Faites ensuite le test sur le site de Cloudflare et voilà, un beau SNI des familles bien chiffré.

Activer le chiffrement SNI sous Chrome / Brave

Bon, bah j’étais chaud pour vous expliquer aussi mais apparemment, c’est pas encore implémenté. Ouin. Par contre, comptez sur moi pour mettre à jour ce paragraphe lorsque cela le sera.


Réponses notables

  1. Bon bah je suis avec Brave, donc dans le Lulu !
    Par contre Tonton j’ai un bug sur ton blog : Lorsque je veux commenter, je vois bien le début de ton post et dessous apparaît le bouton « Afficher le message complet… ». Et bah si je clique dessus, ça me déroule un poste qui n’a plus rien à voir et qui me parle de GIF.
    WTF !!

    Des bises :kissing:

  2. Avatar for Razhum Razhum says:

    Parfait, au détail près que tous les feux ne sont pas au vert chez moi : DNSSEC reste obstinément rouge ! Mais pour quelle raison ? Saperlipopette ! :no_mouth:

  3. Avatar for VanVan VanVan says:

    Le problème c’est que ce n’est pas très utile, sauf pour des petits sites.

    Je m’explique, déjà le SNI est utilisé lorsque les serveurs répondent à plusieurs noms de domaine, c’est le but de la chose à l’origine pour le serveur d’envoyer le certificat de siteA.com et pas celui de siteB.com alors qu’il héberge les deux. Il suffit que l’observateur renvoi un paquet vers la même IP pour déterminer le nom de domaine hébergé par le serveur en question car la plupart des sites fréquentés n’en hébergent qu’un (sauf pour les petits qui mutualisent), le gain est donc faible, voir nulle dans la plupart des cas, mais surtout plus grave, le fait de diffuser ces technologies force les fournisseurs de matériels et les états à mettre en place de nouvelles technologies d’écoute, rendant ce qui était sécurisé avant non sécurisé, parce que même Mme michu va utiliser du encrypted SNI et du DNS -over-TLS sans le savoir, il restera de moins en moins d’alternatives lorsque nous en avons besoin.

Continuer la discussion sur Korben Communauté

2 commentaires supplémentaires dans les réponses

Participants