Mozilla在今年10月宣布FirefoxNightly版本支持加密TLS服务器名称指示（SNI），这有助于防止网络上的攻击者了解你的浏览历史记录。用户可以启用加密SNI功能，当访问支持加密SNI的网站时它将自动生效。

什么是加密SNI？

SNI扩展（Server NameIndication, 服务器名称指示）定义在RFC 4366，主要用于同一IP配置多个HTTPS主机 的场景中，它允许客户端在发起SSL握手请求时（具体说来，是客户端发出SSL请求中的ClientHello阶段）就提交请求的主机名，即使同一IP地址上有多个服务器，也能快速切换到正确域名并返回正确的证书，SNI字段有助于大规模的TLS托管工作。

然而，客户端在发送ClientHello的阶段尚未建立SSL加密连接，ClientHello消息是未加密的，如果ISP、无线WiFi等网络路径上的监控者拦截客户端所请求的主机名，就可以跟踪到用户正在访问的站点。

加密SNI (ESNI)是TLS 1.3 协议的扩展，它可以阻止ISP、无线WiFi和其他监控者拦截TLS服务器名称指示（SNI），防止用户访问网站的浏览记录被泄露，加密SNI让使用HTTPS流量的互联网用户更加难以被跟踪。

Firefox Nightly如何设置加密SNI？

使用加密SNI也需要客户端和服务器端同时满足条件，Firefox Nightly是首个支持该功能的浏览器，Nightly用户现在可以通过执行以下步骤来尝试这项增强功能：首先，您需要确保启用了基于HTTPS的DNS；完成后，您还需要在about:config中将“network.security.esni.enabled”首选项设置为“true”）,这应该会自动为支持它的任何站点启用加密SNI (ESNI)。需要注意的是，加密SNI是TLS 1.3及更高版本的扩展，TLS 1.3以下的协议版本不支持此功能。

启用HTTPS加密带来的安全性能提升已经远超HTTP时代，而加密SNI的应用更像是未来HTTPS加密时代进一步提升安全性的技术策略，在TLS 1.3主流化之前仍然有较长的普及期。所以，目前所有网站的当务之急是尽快启用HTTPS加密步入HTTPS时代，以便在新的安全技术来临时，能够快人一步占据先机。沃通SSL证书由全球信任顶级根签发，支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各类浏览器、操作系统和移动终端，具备广泛兼容性，可用于网站、APP等各类服务器升级HTTPS加密，网站所有者花费更低成本、轻松步入HTTPS加密时代。

参考来源：Mozilla & Cloudflare ，沃通翻译整理文章，转载请注明来源Freebuf

了解更多HTTPS相关资讯，关注沃通SSL证书