Несерьёзный Выдумщик
grumb
Да, на #ТСПУ началась блокировка TLS 1.3 соединений использующих ECH (Encrypted Client Hello).
Проверяется легко, если в #Firefox можно через about:config отключить использование ECH:
network.dns.echconfig.enabled в false
При этом не обязательно трогать network.dns.http3_echconfig.enabled
А вот пользующиеся #Chrome и #Chromium в полном пролёте — возможность отключения #ECH теперь уже не предусмотрена. Убран и отправлен в небытие старый-добрый:
chrome://flags#encrypted-client-hello
После отключения ECH возвращается работоспособность таких безобидные сайтов как:
Ожидаемо, что по этой причине Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора пошлёт в пешее путешествие всех недовольных с жалобами. Предложив использовать браузеры, позволяющие отключать ECH.
Формально Роскомпозор блокирует лишь одно из расширений TLS 1.3, а не сам протокол. По причине того, что #Cloudflare включил использование #ECH для всех своих клиентов по умолчанию.
А горстка слабохарактерных идиотов, так и не смогла сделать ECH частью протокола TLS 1.3 — история тянется аж с 2018 года.
Уж очень много копий было сломано, пока уходили от 1.2 версии #TLS в сторону 1.3, шествие было очень длинным и напряжённым. И людишкам не хватило воли с характером на включение в 1.3 таких вещей как ECH — в раннем варианте это звалось ESNI и не выглядело зрелым решением.
2
1
3
@johan если надо ECH выключить в Chrome, то есть вариант через скрипт политики.
создать файл /etc/opt/chrome/policies/managed/conf.json c содержимым:
{
"EncryptedClientHelloEnabled": false
}
⚛️Revertron
Revertron@zhub.link@grumb Дело не в слабом характере. А в том, что ключи шифрования ClientHello получаются через DNS, а не у всех он защищён достаточно.
1
0
0
Несерьёзный Выдумщик
grumb@Revertron За шоу стоппер не катит. Никто не обязывает использовать 1.3 версию TLS, раз не прописали дополнительно ключи в DNS-записях, то и предоставляйте лишь TLS 1.2 на своих серверах.
1
0
0
Limping
limping@mastodon.ml
1
0
0
⚛️Revertron
Revertron@zhub.link@grumb Так ты ведь не справился с пониманием изначально.
Админы домена прописывают ключи в ДНС.
Браузер юзера должен _по защищённому каналу_ получить эти ключи из ДНС.
А этого защищённого канала зачастую НЕТ.
Вот именно поэтому и не сделали эту часть обязательной. Ибо нафига требовать, если канал перехватывается?
1
0
0
Несерьёзный Выдумщик
grumbпубличные ключи по защищённому каналу гонять нет нужды абсолютно никакой.
они всего лишь должны быть заверены (подписаны), ровно так же как и сертификаты доменов, которые сервера отгружают браузеру в процессе установления каждого TLS-соединения.
у каждого браузера и так есть пачка сертификатов корневых удостоверающих центров + выстроена загрузка списка отозванных сертификатов.
1
0
0
⚛️Revertron
Revertron@zhub.link@grumb > должны быть заверены (подписаны)
А они не подписаны. Иди учи мат-часть.
1
0
0
Limping
limping@mastodon.ml
1
0
0
Несерьёзный Выдумщик
grumb@Revertron контекст не держишь и умом не блещешь. получившийся system design — говно, по части ECH.
ECHConfig to the HTTPS DNS record можно загружать и не по DoH (DNS-over-HTTPS), если публичный ключ в этой записи будет заверен (подписан) так же как и TLS-сертификаты заверяются.
потребитель проиграл с того, что обязан целиком и полностью доверять поставщику DNS, когда использует «безопасный DNS» посредством DoH.
и с того, что ECH не сделали обязательной частью TLSv1.3
1
0
0
Несерьёзный Выдумщик
grumb@Revertron да от тебя вечно и сплошняком поток лозунгов и говнометания.
не человек, а бот-пропагандон упоротый.
0
0
0