Это моё решение для кастомного лаунчера финалки, да
Увы, но сработает только в ситуациях когда используется виндовый http стек. В том случае был дотнет с принудительным даунгрейдом до TLS 1.2 перед запросом
Перепечатаю сюда на всякий, коль народ сюда тоже отправляют:
Как без использования VPN временно обойти ошибку лаучнера “XIVLauncher failed to check for updates”/сломанное меню плагинов даламуда:
Это отключит один из наборов шифров TLS (Cipher suite - Wikipedia), что потенциально может что-нибудь сломать (а может и не сломать). Не думаю что это может создать какие-нибудь проблемы в безопасности, так как этот набор не в списке рекомендуемых (но все еще в списке безопасных)
Откатить всегда можно следующей командой: Enable-TlsCipherSuite -Name TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Вы проверяли используемый в результате шифронабор через дамп или из репорта curl в строчке: SSL connection using TLSv?
There are new ciphersuites that only work in TLSv1.3. The old ciphersuites cannot be used for TLSv1.3 connections and the new ones cannot be used in TLSv1.2 and below.
Причина, похоже, всё же не совсем в cipher’ах. Наиболее вероятно то, что цензурирующей системе не нравится что-то в ответе сервера, а не в запросе клиента. Я воспроизвёл проблему на своём сервере (не IP Cloudflare), проксируя запросы к Cloudflare.
Это объясняет, почему с TLS 1.3 нет проблем (у TLS 1.2 и 1.3 ответы прилично различаются), и почему изменение Cipher’ов исправляет проблему (ответ сервера меняется, возможно, просто сравниваются определённые байты на определённых местах). Кроме того, проблема не проявляется при подключении к community.cloudflare.com, а там используется другая цепочка сертификатов.
Вероятно проблема не в фильтрации Client Hello, а в фильтрации Server Hello. Когда в нем первым шифром идет ECDHE-RSA-AES128-GCM-SHA256 - соединение блокируется. Для TLSv1.3 шифры другие поэтому и проблема исчезает.
Поэтому изменение порядка шифров тоже может излечить проблему при условии что CF выбирает первый поддерживаемый из списка.
Это была сигнатура для Lantern. Сервера опознают по шифру, количеству сертификатов в цепочке и возможно их размеру. УЦ разные, к ним привязки нет. Результат вы видели.