Проверка поддержки Encrypted SNI

Jun. 10th, 2021 09:53 am
Tags:
Flat | Top-Level Comments Only

Date: 2021-06-10 11:53 am (UTC)
brothe7far: (Default)
From: [personal profile] brothe7far
Не очень корректно работает: безопасным считает только dns от самого cloudflare, с самого начала так было. Да и esni - уже не такая горячая тема. Как альтернатива для проверки esni и поддержки разных способов шифрования есть сервер tls13.1d.pw.
ps Как по мне, лучше использовать dnscrypt и сервера-анонимайзеры к нему.
Edited Date: 2021-06-10 09:12 pm (UTC)

Date: 2021-06-11 02:24 am (UTC)
victor_sudakov: (Default)
From: [personal profile] victor_sudakov

Не очень корректно работает: безопасным считает только dns от самого cloudflare

DNS это другой вопрос, мне было интересно проверить поддержку ESNI в браузере, и оказалось что ни Firefox ни Chrome на моем десктопе (свежий Manjaro Linux) не поддерживают его.

Да и esni - уже не такая горячая тема.

Как это? Мне как раз интересно было, можно ли скрыть доменное имя посещаемого сайта от слишком любопытных глаз.

для проверки esni и поддержки разных способов шифрования есть сервер tls13.1d.pw.

Я что-то не очень понял, как там посмотреть, поддерживает ли мой браузер ESNI. Сайт ответил: Successfully connected TLS 1.3 OK; HelloRetryRequest used; значит ESNI не работает?

Date: 2021-06-11 03:10 am (UTC)
brothe7far: (Default)
From: [personal profile] brothe7far
Если браузер поддерживает,то будет примерно так:
==
Successfully connected

TLS 1.3 OK; ESNI OK;

Detailed description:

v.0.21.8-k
(This TLS-1.3-only server supports ESNI, HelloRetryRequest, KeyUpdate, ECDHE, FFDHE, etc.)

Using ESNI
Hostname from encrypted SNI:
tls13.1d.pw
ESNI nonce: 0x38B8842F8B0A8544F11375101D2F281E
ESNI key share group: 0x0018 (Secp384r1)
ESNI cipher: 0x1301 (TLS_AES_128_GCM_SHA256)
IV: 0x7074A29EE6370D3410CE9DA0
Symmetric key: 0x063D35F7C2E5BEC5691C07371A57231E
==
И в конце будут нарисованы два кота, а не один текстовыми символами. Но, может быть, вам нужно с настройками разобраться, esni работает только с включенным и настроенным doh.
Но это ж был черновой вариант - на смену esni пришел или собирался придти ech - подробности
(https://www.opennet.ru/opennews/art.shtml?num=54384)

Ну и здесь как раз более свежие версии ФФ и хрома могут уже не поддерживать esni (честно говоря, я не проверял, есть ли эти настройки на свежайших).

Date: 2021-06-11 05:12 am (UTC)
victor_sudakov: (Default)
From: [personal profile] victor_sudakov

Похоже выкинули, в about:config уже нет ничего про esni.

DoH у меня работает неуверенно, тот же тест от CloudFlare через раз показывает то успех, то неудачу. Надо наверное где-то гайки потуже закрутить, например поставить network.trr.mode=3

Date: 2021-06-11 05:48 am (UTC)
brothe7far: (Default)
From: [personal profile] brothe7far
Я заметил, что с ФФ некоторые doh-сервера работают со скрипом и на пропасть, а некоторые лучше. Из тех,что лучше могу посоветовать
https://dns.adguard.com/dns-query
и другие adguard.
Nextdns.io мне понравился - там большая квота бесплатных запросов и куча гибких настроек. И тоже неплохо уживается и с ФФ и с Вивальди-андроид на основе хромиум. Но там надо создавать свою учётку (это бесплатно и не сложно в общем-то).

А так - да, если doh работает нормально, то режим 3.

Date: 2021-06-11 10:16 am (UTC)
victor_sudakov: (Default)
From: [personal profile] victor_sudakov

Ага, спасибо, посмотрю на другие. Если найду надёжный, я вообще собирался в Микротике подключить его.

Date: 2021-06-11 03:14 am (UTC)
brothe7far: (Default)
From: [personal profile] brothe7far
Да, если ESNI работает, то строка и информация выдаётся в начале отчёта, не заметить нельзя.
Попробуйте покопаться в настройках.

Date: 2021-06-11 10:15 am (UTC)
victor_sudakov: (Default)
From: [personal profile] victor_sudakov

если ESNI работает, то строка и информация выдаётся в начале отчёта, не заметить нельзя. Обычно на подобных тестовых сайтах если тестируемое не работает, об этом тоже принято написать явно.

Date: 2021-06-11 09:25 pm (UTC)
brothe7far: (Default)
From: [personal profile] brothe7far
Автор сделал сугубо технический сайт, работающий по принципу: есть функция - пишем о ней, нет - молчим. Вначале зелёным указываются все возможности, которые поддерживает браузер клиента Как по мне - так удобно, главное ведь конкретная инфа.

В общем, я попробовал поставить на свой андроид свежий IceRaven, основанный на ночнушке ФФ 89. Включил там поддержку ECH. Не, по-моему, не работает, но я даже не понимаю пока как проверить, если только не снимать дамп траффика (мне чуть леньки). Но я прочёл, что ECH как бы до работающего состояния пока не довели в принципе, и Мозилла советует пользоваться старыми esr-версиями ФФ и esni, а он не защищает по-настоящему, отсюда и потребность в новом ECH. Вот у меня и стоит старый ФФ 68.12esr с esni. Если хотите, вы можете найти под линукс сборку старого ФФ, поддерживающего esni и пользоваться. Я не знаю, какая версия там была последней поддерживающей, но нагуглить можно. Собственно, я не уверен, что на момент сегодня можно увидеть практическую пользу от esni/ech, но, может быть, вы знаете способ. Я узнал, например, что этот сайт поддерживает esni.

Date: 2021-06-13 02:18 pm (UTC)
victor_sudakov: (Default)
From: [personal profile] victor_sudakov
Автор сделал сугубо технический сайт, работающий по принципу: есть функция - пишем о ней, нет - молчим.

Когда делаешь для себя и друзей - такой подход оправдан, не спорю. Я вот сделал http://admin.sibptus.ru/w и http://ipv6.sibptus.ru/w для себя и пары знакомых, смотреть через кого выходишь в Интернет - ни к чему не обязывает.

А если делаешь с расчетом на хоть какую-то публику, IMHO надо делать по-другому.

По поводу же шифрования SNI - грустно что ESNI уже убрали, а то что должно его заменить -не внедрили.

Date: 2021-06-13 03:01 pm (UTC)
brothe7far: (Default)
From: [personal profile] brothe7far
Esni работает, просто версию ФФ нужно подобрать постарее, ту из которой ещё не убрали. А так есть статистика, что оказывается, в РФ очень даже много сайтов с esni.
https://statdom.ru/tld/ru/report/esnitotal/#64

То есть, в принципе, есть смысл найти, настроить и пользоваться, это работает, но насколько это полезно обычному человеку практически, а не для ачивки так сказать - бог весть.

Ну а я пользуюсь старым ФФ 68 потому что это последняя версия со старым и удобным мне интерфейсом и любое расширение можно поставить, включая не опубликованные официально, потом это всё поменяли/убрали/сломали. А esni настроил... несколько лет назад это была модная тема, вот и настроил. На практике разницы я не чувствую.
Edited Date: 2021-06-13 03:01 pm (UTC)

Date: 2021-06-13 03:08 pm (UTC)
brothe7far: (Default)
From: [personal profile] brothe7far
По ссылкам - с первой мне понятно, что и зачем, а вторая не открылась, перебросило в гугль-поиск. Возможно, там требуется ip6-инет? У меня только ip4.
Скажем, я, наоборот, предпочитаю сугубо техническую информацию, подробности, а не "крестики и галочки", но - дело вкуса.

Date: 2021-06-13 03:41 pm (UTC)
victor_sudakov: (Default)
From: [personal profile] victor_sudakov

Да, у ipv6.sibptus.ru только AAAA запись, это такая "жесткая" проверка на наличие IPv6.

Первая ссылка имеет как A, так и AAAA запись, т.е. будет показан адрес (и whois по нему) того протокола, который предпочтет браузер.

Date: 2021-06-11 09:32 pm (UTC)
brothe7far: (Default)
From: [personal profile] brothe7far
Кстати, любопытная страничка о esni (или страничка для любопытствующих) :) - главное, что на русском.
https://dxdt.ru/2019/07/18/8811/
Flat | Top-Level Comments Only

Profile

victor_sudakov: (Default)
Виктор Судаков

Navigation

November 2025

S M T W T F S
      1
2345678
9101112131415
16171819202122
23242526272829
30      

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Mar. 9th, 2026 11:28 pm
Powered by Dreamwidth Studios