Простите, возможно не по теме немного, но подозреваю козни РКН. Есть мобильное приложение, до сегодняшней ночи работало все нормально, с ночи на разных провайдерах начались отвалы по таймауту. Причем рост ошибки с полуночи на разных версиях приложения, в т.ч. и совсем старых. На части провайдеров проблемы возникли не сразу, только к обеду. Через vpn приложение работает отлично.
От того к какому ip подключиться пытается приложение не зависит ничего. Что странно - проблема и для прода и для стейдж сервера воспроизводится. Сервера за cloudflare стоят.
Сама ошибка java.net.SocketTimeoutException: SSL handshake timed out
at com.google.android.gms.org.conscrypt.NativeCrypto.SSL_do_handshake(Native Method)
Caused by: android.system.ErrnoException: isConnected failed: EHOSTUNREACH (No route to host)
at libcore.io.IoBridge.isConnected(IoBridge.java:275)
Еще дополню - что в браузере при этом страничка расположенная по адресу сервера прекрасно открывается. И можно get запросы из браузера подергать - отдаются.
Через Globalcheck блокировки не видно.
Есть ответ сервера. Значит SNI не вызвал реакции. Если это был TLSv1.2 возможно блокировка по сертификату. При наличии SNI, возможно это что-то новенькое.
Да вот сертификат для проверки всякого странного тоже меняли. Что интересно - отвал у части провайдеров был постепенный. Мы там два сервера используем, один для статики, другой для апи. И сначала отвалилась статика, потом апи (хост адреса у них разные), при том что http клиент одинаково сконфигурированный использовался. При этом, повторюсь, через vpn все работает отлично, и сам api.author.today отлично открывается в браузере, что прям странно. Да и в списках reestr.rublacklist.net нас нет вроде.
dump.pcap (7 КБ)
Конкретно на этом девайсе api.author.today работать начал, а вот на других девайсах по прежнему не работает. При том что это одна сеть. Но вот cm.author.today по прежнему те же признаки показывает. Выложил pcap.
Хотя вру немного. Если раньше хоть какие то ответы от сервера прилетали, сейчас к сожалению перестали, соответственно выше файл уже без ответов(( Фильтр в capture options по host, он по идее и на source и на destination смотрит.
Блокируют Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f), если он стоит на 4 месте в списке ciphersuites, в сочетании еще с каким-то фактором, в сторону IP-адресов Cloudflare.
Независимо от домена, похоже.
не только на ip cloudflare, даже на зеркалах cloudflare воспроизводится
upd: а точнее на тех, где используется стандартный сертификат google trust services, на домен www.speedtest.net у меня блока нет (там другой сертификат)
В жертвы также можно записать: Parsec, ShareX, авторизация (по меньшей мере в Twitch) в OBS
Роскомнадзор в очередной раз умудрился поблочить половину сети.
Это моё решение для кастомного лаунчера финалки, да
Увы, но сработает только в ситуациях когда используется виндовый http стек. В том случае был дотнет с принудительным даунгрейдом до TLS 1.2 перед запросом
Перепечатаю сюда на всякий, коль народ сюда тоже отправляют:
Как без использования VPN временно обойти ошибку лаучнера “XIVLauncher failed to check for updates”/сломанное меню плагинов даламуда:
Это отключит один из наборов шифров TLS (Cipher suite - Wikipedia), что потенциально может что-нибудь сломать (а может и не сломать). Не думаю что это может создать какие-нибудь проблемы в безопасности, так как этот набор не в списке рекомендуемых (но все еще в списке безопасных)
Откатить всегда можно следующей командой: Enable-TlsCipherSuite -Name TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256