Comments 38
Спасибище тебе, человечище! Что нашел время разобраться, а то уже по привычке туннели щелкаешь, а пользователям говоришь др браузер использовать.
Firefox, скорее всего, не поддерживает Encrypted ClientHello (ECH) по умолчанию
Поддерживает, поэтому до сути проблемы, получается, так и не докопались. Загвоздка где-то в том, как именно браузеры обрабатывают ситуацию, когда ECH блокируется. Делают это они, очевидно, по-разному.
Так блокируется не ECH, а TCP-соединение под которым TLS с ECH. Для браузера это выглядит как обрыв TCP. Откуда он поймёт, что это из-за ECH.
Я бы скорее предположил, что троечники из РКН просто взяли сессию с ECH из Хрома за образец, и захардкодили конкретные сингатуры на конкретных офсетах. А другие реализации TLS даже не тестировали.
Firefox использует ECH только если включен DOH
https://wiki.mozilla.org/Security/Encrypted_Client_Hello
Originally, Firefox required DoH to be enabled in order for ECH to function. Since Firefox 129, Firefox can fetch the necessary information via the OS DNS Resolver to enable ECH, allowing ECH to be used in more circumstances. Due a blocking bug with the MacOS DNS integration, MacOS still requires DoH to be enabled for ECH to be used
Была статья на хабре 6 ноя 2024 в 03:47 - Блокировка подключений к сайтам с CloudFlare с TLS ECH (Encrypted Client Hello)
По работе нужен периодически https://linux-sunxi.org/ - заблокирован по TLS ECH
Просто запускаем (chrome 134.0.6998.36)с фичей так:
chrome.exe --disable-features=encrypted-client-hello https://linux-sunxi.org/
В версиях Chrome 122+ флаг chrome://flags/#encrypted-client-hello удалён
Отключить в Chrome использование TLS ECH для всех сайтов можно через реестр.
PowerShell
Выполнить вот эти команды для принудительного отключения:
$PATH = "HKLM:\Software\Policies\Google\Chrome\"
$NAME = "EncryptedClientHelloEnabled"
if (-not(Test-Path $PATH)) { New-Item -Path $PATH -Force }
New-ItemProperty -Path $PATH -Name $NAME -Value 0x0 -PropertyType DWORD -ForceРучная правка реестра:
Создать параметр EncryptedClientHelloEnabled с типом DWORD и значением 0 по пути HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome
Изменения применяются после перезапуска Chrome.
Надеюсь кому-то пригодится в определенных ситуациях.
Для firefox-а(v.136.0):
about:config
Из true в false
network.dns.echconfig.enabled
network.dns.http3_echconfig.enabled
можно блокировать https запись в dns сервере на рутере (например, dnsmasq в openwrt это позволяет - filter-rr=HTTPS)
Спасибо за статью. Плюсанул
Ха, полез я в SOFTWARE\Policies\Google\ ,а там - пусто, и вспомнил, что Chrome на этой машине не использую... ^_^
Интересно, почему местный "не терпильный" контингент минусит человека, который пользуется чем-то другим, еще и когда это написано в форме шутки? я вот сафари пользуюсь в основном, я теперь не человек что ли?
Потому, что комментарий выглядит абсолютно неуместно. Зачем приходить в обсуждение проблемы конкретного браузера и всем радостно сообщать, что ты этим браузером не пользуешься? Какой в этом смысл или польза для дискуссии?
Это как приходить на форум владельцев авто определенной марки, и писать что ты на ней не ездишь. Зачем?
По сути это напоминание про альтернативу. Альтернатива тоже решение проблемы. Да несколько неуместно подано, но тем не менее. Заодно указано,что если хромом не пользовался, но не исключается в будущем, параметры надо прописывать самому ибо пока их там просто нет. Если копать глубже проблему выделили и решили в материале, комментировать тогда просто незачем вообще.
Потому, что комментарий выглядит абсолютно неуместно.
Скажите пожалуйста, а комментарий с просьбой уточнить заголовок статьи на тему, что это проблема не хрома, а РФ, также будет неуместен?
Так пост ведь на российском сайте, тут можно к каждому заголовку дописывать «в РФ», если явно не указано другое. Дефолтная страна.
Хмм, однако, habr.com. Т.е., все-таки на русскоязычном. Ну и почитайте комментарии к соседнему треду про релокацию в Германию https://habr.com/ru/articles/888742/, чтобы оценить количество читателей не из РФ.
Эх, вариант прекратить блокировку ECH даже не рассматривается :(
ECH ещё даже из состояния Draft не вышел, а уже заблокирован :)
Блокируется домен cloudflare-ech.com, а не ECH! Т.е dpi видит данный домен и рвет tcp сессию. Ему пофиг что там, ECH или просто clienthello идет
К слову ECH не от cloudflare работает нормально. Можно проверить здесь https://tls-ech.dev/
Тогда почему работает Firefox & co?
Благодарю, завернул cloudflare-ech.com на роутере через прокси, все сайты из статьи открылись в хроме, скорее всего это аффектит много других сайтов в т.ч.
Уже года полтора как заметил такое поведение у сайтов, сидящих за CF.
Причём фильтруются не все узлы cf, а какие-то отдельные подсети /16 или /18. И сайт начинает работать в режиме мигалки.
У одного и того же пользователя сегодня работает, завтра нет. Потом опять начинает работать. И даже от провайдера не зависит. У одного ркн режет, у другого билайн.
Проблема полностью ушла после отказа от CF.
а почему popcorn hub то открывается, то не открывается или тормозит ? ;)
Решение: отключение ECH
В Windows откройте реестр и перейдите в:
Спасибо!
Не перевелись ещё годные статьи на Хабре... А то уже с опаской статьи открываю. Автору спасибо
Траблшутить проблему начал с банальных вещей:
поднимаем VPN до зарубежного сервера. Если симптомы пропадают, то в 99% случаев проблема в работе ТСПУ РКН. Дальше ищем способы обхода ограничений, что вы собственно и сделали.
А вот за такое ломание протоколов RFC (а по другому подобные методы блокировок не назвать), когда DPI пропускает одни хендшейки, блокирует другие, и рвет на середине сессии, ломая всю логику как приложениям, так и сетевым стекам ОС, заставляя их буквально флудить пакетами,
RIPЕ или кто там выдает пулы ip, уже пора наверное просто лишать эти AS выданных им адресов.
Ломаете протоколы - сидите в своей чебурнетной локалке, и не ходите в глобальную сеть!
Ньюанс - ломает РКН (и EcoDPI вроде) - а у них свои AS есть? Если даже лишить - начнут вопить про санкции злого запада.
Или призываете все Российские адреса отзывать? Ну так понятно ж чем это кончится - для начала - это будет просто проигнорировано внутри России и среди стран кто нейтрально хотя бы относится, в результате получится типовая ситуация когда сеть анонсируется с разных мест и привет фрагментация Интернет на базовом уровне.
Собственно была попытка в том числе и это сделать - по инициативе Украины
Страничка от RIPE со ссылками на подробностями и деталями https://www.ripe.net/membership/member-support/the-ripe-ncc-and-ukraine-russia/
Если очень кратко - отзывать никто ничего не будет (причем в обсуждениях там было и что RIPE - НЕ владелец, они координатор и работает это пока есть консенсус что они действуют в общих интересах), заморозить (=нельзя ничего менять, использовать - можно) можем и будем если ЕС скажет. Меры чтобы укросети не были добровольно-принудительно переведены под российскую юрисдикцию внепланово (в том числе и если переводить будут автоматчики в офисах) - примем.
Меры чтобы укросети не были добровольно-принудительно переведены под российскую юрисдикцию внепланово (в том числе и если переводить будут автоматчики в офисах) - примем.
С целью? Как обычно, по привычке, просто ещё один удобный случай "поднасрать" русским?
Или я что-то не так понял.
Насколько я понимаю - там имелся ввиду теоретически возможный случай (украинцы заявили что он вовсе не теоретический) вида:
есть провайдер в (допустим) Харьковской области, сети/as помечены как украинские и владелец - этот провайдер
населенный пункт где этот провайдер (ну или головной офис) возвращается в Россию и от провайдера требуют срочно поменять регистрацию на правильную
населенный пункт где этот провайдер (ну или головной офис) возвращается в Россию и от провайдера ничего не требуют, просто говорят что по законам РФ этот провайдер ликвидирован, теперь тут будет новый, а ну быстро все доступы передали и поменяли регистрации сетей на правильного провайдера а вот эти люди в форме - вам помогут
Насколько я понимаю - решение было - можно врубить блокировку на любые изменения которую не снять вот так просто ("сложно" - можно но с кучей бюрократии и при малейшем подозрении что сценарий выше - отказ)
Не выглядит как "поднасрать" а как возможность использовать разумную в такой ситуации меру предосторожности (включают то админы провайдера)
Хотели то намного больше
Загадочные проблемы браузинга: почему некоторые сайты не грузятся в Chrome?