Комментарии 77
Нужно уточнить, что это может помочь при "сибирской блокировке" в вариации с учитыванием фингерпринта браузера, но не для других случаев (их довольно много). А так любопытная находка, спасибо.
Плюс, пригодится
Нет такого в обоих браузерах. Либо не совсем подробно описан способ активации.
В каких браузерах проверяете?
У меня это есть в Chrome версии:148.0.7778.217 (официальная сборка) (64 бит)
Обновил браузер до 149.0.7827.103 и тоже есть, поищите по названию CNSA
Сейчас проверил: есть в Brave, Chrome, Opera. В Edge нету - проверял на ПК.
поиск без "#" надо делать. Т.е. "cryptography-compliance-cnsa "
Если же Вы владелец сайта, то попробуйте отключить TLS 1.3 - это кому-то помогает. (я серьезно, хотя у многих со времен Cloudfalre отключен).
Ммм... Зачем отключать на сайтах поддержку современного TLS протокола?
К сожалению, он слишком современный для наших реалий. Надеюсь, что не придётся к WAP возвращаться. Его хотя бы ещё не блокируют, а могут.
https://habr.com/ru/news/856342/ - по крайней мере это ещё было актуально 2 года назад.
Вы можете и не отключать, но сейчас я сижу в профильных чатах и люди пишут что это им помогает, то есть не я рекомендовал, они сами писали - мол, отключили, работает.
Но это не решение полноценное. Просто с включенным TLS 1.3 РКН SNI зашифрован и не видно к какому сайту обращается пользователь. Я это понимаю так.
Даже с TLS 1.3 SNI передаётся в открытом виде. Просто РКН блокирует некоторые TLS отпечатки, а смена версии TLS тоже меняет отпечаток.
Не надо было протокол отключать, надо было надстройку Encrypted ClientHello (ECH) отключить в настройках cloudflare. Но сейчас вроде как в принципе весь cloudflare в чёрных списках.
Ага, а давайте вообще выбросим все эти сертификаты/шифрование и в заголовках сразу будем передавать паспортные данные и ходить только на белый список...
Некоторые православные балалайки очень своеобразно пропускают tls 1.3
Включил этот флаг, но те же alpinejs.dev и laravel-livewire.com (ну вряд ли же они в списках???) как грузились без ресурсов, так и грузятся. Может, оно другое что-то лечить должно?…
Подтверждаю, не сработало для данных сайтов (на пк и моб)
Эти сайты не грузятся из-за того, что они под Cloudflare.
Хабр, а в Файрфоксе настройка security.tls.version.min = 4 не то же самое делает?
Или она только повышает ТЛС до 1.3 и ничего больше?
Это кардинально меняет порядок шифров в TLS-отпечатке Chrome
И второй вопрос для знатоков шифрования: а можно ли подобный трюк провернуть в PuTTY? Чтобы работу SSH стабилизировать.
Я понимаю, что там нет TLS, но там тоже и набор разных шифров и алгоритмов обмена ключами, т.е. определённое пространство для манёвра имеется.
а в Файрфоксе настройка security.tls.version.min = 4 не то же самое делает?
Вроде только версию tls двигает. Типа если 4 стоит, то Коннект идёт только с сайтами, у которых tls 1.3 версии и никакой другой.
А по поводу putty не особо понял, если честно.. вы можете попробовать ssh во что-нибудь обернуть, чтобы рукопожатие было рандомное с разными отпечатками. Правда скорость потеряете.. да и вроде ssh пока работает стабильно.
Можно примерно по следующей схеме -
У вас есть сервак в РФ, к нему идёт wg или ovpn, а от сервака в РФ до другого уже ssh. По-сути это обмен данными с зарубежными сервисами (мало ли вам для работы :) ) и легковесно выйдет по идее.
Ну а про бс, вы итак, думаю, знаете.
Если не так понял, объясните, пожалуйста)
вы можете попробовать ssh во что-нибудь обернуть, чтобы рукопожатие было рандомное с разными отпечатками
Да, я понимаю, но для текстового протокола для управления серверами городить "отдельный огород" как-то не хочется.
Да и в какой-то степени моим "убеждениям противоречит" - ладно для посиделок в сети и ТГ, понятно - нужно принимать меры. Но для самого базового уровня рабочих задач... Прямо чешется изобрести что-то простое и изящное.
да и вроде ssh пока работает стабильно
Увы, у меня с конца марта агрессивно режут, да и до этого при передаче файлов обрывалось - из-за этого и пытаюсь разобраться.
У вас есть сервак в РФ, к нему идёт wg или ovpn, а от сервака в РФ до другого уже ssh
WG и OVPN не пробовал, но думаю, что их быстро задетектят, там же протоколы никак не скрываются. Схему, конечно, понимаю, ещё раз спасибо.
Кстати, если есть два сервера, то для SSH можно ещё внутри него самого ssh -J пробовать, но и тут уже первый канал обрезать могут :)
У меня самого есть ssh туннель на крайний случай - если айпишник не в бане, то работает, пока прокатывали. Во всяком случае, если использовать http injector. На ПК же, использовал shuttle с самодельной обёрткой и парой скриптов, вышло очень медленно, а потом он отвалился, к сожалению, причины не знаю, да и копаться времени не было, к сожалению.
А почему wg и ovpn предложил - внутри страны они не заболочены, а вот если идут за границу, то все, обруб. Во всяком случае пока так. Vless до сервера без какой-нибудь обфускации лучше не пускать, по опыту криворукому говорю) не нравится такой трафик тспу, вот блочить начали.
По поводу обрубки первого канала согласен, тут уж ничего не придумать. А так.. ну не знаю, я через ssh спокойно Ютуб в 4к смотрел (сейчас амнезия стоит) и норм. На телефоне конечно удобнее - маршрутизацию настроил и все. На ПК сложнее, но увы, реалии..
К слову, конечно не факт, что поможет, но попробуйте порт для ssh поменять, иногда помогает. А так, насколько помню, могут рубить, если долго сидишь к одному адресу подключенным. По идее, если получится сделать автопереподключение через n ное время, то может сработать. Ещё и смену порта автоматической сделать и как будто если ssh не будет в бане, то и фиг забанят
да и вроде ssh пока работает стабильно.
SSH легко попадает в 16к блок сейчас. Соответственно, сессия до сервера с неудачным адресом/хостингом будет регулярно подвисать и заставлять переподключаться. Если не используется tmux/screen - то с потерей контекста и убийством запущенного в сессии софта.
Включил, разницы не обнаружил
Самая главная проблема этих долбаных блокировок в том что ты не понимаешь почему что-то отвалилось. То ли твой косяк, то ли блокируют наши, то ли блокируют западные, то ли просто так звёзды сошлись...
Например, сегодня перестала работать квн на iPad. На айфоне и Айподе работает один и тот же.
Что только не делал, не один клиент даже через тоннель в России так и не заработал. После перезагрузки устройства начинает чуток фурычить и перестаёт.
Когда они обход блокировок блокируют, это хоть как-то ожидаемо. Но когда узнаешь, что твой сайт у части аудитории недоступен и концов не найти - необычные ощущения.
Прочитал, будто сам написал. Ситуация 1в1. Просто пол дня в никуда. Все подергал, все что можно покрутил, до поддержки Тильды докопался, до провайдера тоже. Вспомнил, что кое-какая статика на внешке по счастливому случаю в Beget лежит. Отключил - сайт ожил. Пошел в Beget разбираться, а у них самих главная лежит. Позвонил, потом написал, подтвердили. Отлегло с одной стороны. С другой стороны надо куда-нибудь завтра переехать со статикой желательно с такой же стоимостью. Только куда, вопрос.
необычные ощущения
Не то слово. Чувствуешь себя как во сне. Бьёшься над этим и чувствуешь, что начинается какая-то легкая шизофазия. А потом вспоминаешь, что мы все так или иначе находимся в коматозном сне Жириновского, и вроде бы даже легче становится...
Del
Основателям интернета не снилось что узлы будут не бомбить, а массово саботировать прямо в собственных сетях. РКН с его чудо-хреновинами было сложно предугадать.
Нужно уточнить, что это может помочь при "сибирской блокировке" в вариации с учитыванием фингерпринта браузера, но не для других случаев (их довольно много). А так любопытная находка, спасибо.
В Vivaldi не помогло (Spaceweb/Билайн)
Другой вариант попробуйте, добавил
HTTP/2 и был включен, а вот как раз ночью TLS 1.3 отключил - заработало. Но, на удивление, заработал и другой сайт на этой же VPS, где TLS 1.3 остался включен. Может быть просто совпадение и они включились даже не из-за этого.
Но может и нет - ведь тот, где я отключил TLS 1.3, намного более посещаемый, и возможно ТСПУ именно на него триггерился, если исходить из вашей версии про число соединений. А второй просто за компанию заблокировался, так как на том же IP.
Спасибо тебе, добрый человек!
С этим долбаным ковровым ТСПУ, зацепило и кучу вполне легитимных сайтов, reaa.ru например - а совет помог (chrome). Теперь туда можно зайти без квн.
Рад, что у Вас получилось
https://cheburcheck.ru/check?target=reaa.ru
Хостится на Hetzner, IP адреса его в чёрном списке.
Билайн\Brave - Помогло, сам на бегет заходил.
Спасибо, сработало, (на пока). Chrome не открывал сайты через сервер dns. Причем на более старых Андроидах открывап, а на современном chrom / android не работало, пользовался другим браузером.
Автор, что именно ты пытаешься разблокировать ?
IP адреса Cloudflare CDN, Hetzner, OVH, Digital Ocean в чёрном списке, вся AS. Хоть как угодно меняй протоколы, как оно поможет то ?
с 5 июня: Массовый сбой сайтов на хостингах Beget, TimeWeb, Selectel и SpaceWeb из-за обновления настроек ТСПУ. Суть в том что на этих хостингах и других, пользователи просто не могут зайти на свои сайты, ну и клиенты тоже. Получают таймаут. Это решение.
Проблема никуда не делась. Я же писал в начале про Beget
Потому что есть другие ресурсы, попавших под раздачу, и не находящихся за их CDN/AS.
Первое что приходит в голову: сайт производителя eltex, сайты некоторых местных магазинов и ТРК, которые теперь можно не роутить через VPN, благодаря автору.
Регион: Урал, если это имеет значение.
Например, yougile.com -- российский аналог Trello, хостятся на Селектеле в Москве, законы РФ соблюдают. Мы с ребятами перешли на него несколько лет назад ровно чтобы нас случайно не задели веерные блокировки. И сегодня надо же такому случиться! Его заблокировали! Соединение зависает после ClientHello, всё по классике. YouGile респект тоже, они довольно оперативно подняли зеркало в облаке Яндекса, скорее всего им это вышло в копеечку, но доступность частично восстановлена.
У нас еще прикольнее с блокировками. По крайней мере мы так думаем. У нас вебгл игра на яндексе мультиплеер. В один день хостинг с нашими серверами упал на некоторое время и поднялся. Потом через несколько дней у многих пользователей пропал доступ к нашим серверам (options, post, get запросы), ну мы подумали, что хостинг так себе и сменили. Спустя 2 месяца этот хостинг падает и через пару дней начинается та же проблема. Забавно так совпало конечно. При этом в обоих случаях всё работало, если включен VPN, или антивирус касперского (если его отключить - снова доступа нет) и еще присутствовал некий рандом, будет ли коннект или нет :)
Смотря в логи, я видел, что от клиента приходит запрос (например options перед post), сервер отвечает, но в браузере почему-то показывает, что ответ не пришёл и всё заканчивается таймаутом. Вот сегодня подняли прокси на яндекс клауде, пока живём. Теперь я хожу с мыслями, что хостинги падали не случайно)))
drweb.ru не починился (хотя он хостится в РФ). в chrome не открывается, в firefox открывается. macos если что
Понизил TLS до 1.2 - сайты везде заработали.
Спасибо, что подсказали! Им /s
Не работает
На работе попробовал - не работает
Жаль, что для Firefox эти специфические флаги не работают (их нет), так как это проприетарные механизмы Chromium. Я попробовал сделать что-то аналогичное (ArchLinux и MacOS):
Принудительное использование конкретных шифров (аналог CNSA) и отключение TLS 1.3 с помощью security.tls.version.max =3 и все security.ssl3.*
Изменение User-Agent и заголовков с помощью network.dns.echconfig.enabled = true и network.dns.http3_echconfig.enabled = true
Аналога #enable-benchmarking не нашел
В общем, не работает. Может кто тоже пытался поиграться с настройками Firefox?
Дело в том что в Firefox в целом проблемные сайты работают (у меня и по сообщениям других).
Посмотрел Firefox:
security.tls.version.max 4 на 3 - меняет отпечаток JA4 и в целом по аналогии с хромом должно работать, но у меня нет проблемы чтобы произвести это детально
Возможно это зависит от региона и прова. На проводе и десктопе ArchLinux, Debian - Firefox открывает(из комментов: beget.com, alpinejs.dev, laravel-livewire.com, reaa.ru)
07.11.2024 Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ
network.dns.echconfig.enabled и network.dns.http3_echconfig.enabled в false
security.tls.version.max 4(TLS 1.3)
DNS over HTTPS https://dns10.quad9.net/dns-query
В Network-Manager DNS 9.9.9.10, 1.0.0.1, 8.8.4.4Попробовал на яндекс-браузере второй вариант, теперь он не запускается... Че делать? Как вернуть обратно как было?
--disable-field-trial-config
Яндекс падает после включения ключа "benchmarking", да. Параметра стандарта CNSA во flags этого браузера нет.
Откройте в Notepad++ файл json "Local State" в папке профиля "User Data"
%LOCALAPPDATA%\Yandex\YandexBrowser\User Data\Local State
Найдите в этом файле строки "experiments" и удалите новые параметры по их аналогичным интуитивным именам. Нажмите по окончании "Сохранить" / "Save". Мне это помогло.
На крайняк, файл "Local State" можно удалить. Он будет пересоздан с потерей некоторых настроек браузера. Если ваш профиль синхронизируется с облаком Яндекса, то это не очень страшно imho
Не используйте Яндекс браузер, серьёзно не надо
Ищите Enable benchmarking - включаете Match Field Trial Testing Config
Делал это всё на Яндекс Браузере и после он сломался - не может запуститса, пишет ошыбку. Установить сверху не даёт, вылетает на 79%
Похоже, придётся переустанавливать.
Заработал ЖЖ. Первый способ.

Как починить блокировку легальных сайтов РКН ТСПУ одной строчкой в Chrome