Блокировка шифра в сторону Cloudflare на ТСПУ

anonimnyj24 · April 1, 2024, 12:08pm

Странно, что TLS Server Hello в принципе дошёл при блокировке какого-то алгоритма.

anonimnyj24 · April 1, 2024, 12:18pm

Судя по всему, блокировка возникает только если в TLS Server Hello указан запрещённый Cipher Suite

anonimnyj24 · April 1, 2024, 12:26pm

curl -v https://bo0om.ru --tls-max 1.3 --ciphers ECDHE-RSA-AES128-GCM-SHA256 - подключает
curl -v https://bo0om.ru --tls-max 1.2 --ciphers ECDHE-RSA-AES128-GCM-SHA256 - не подключает

anon57137390 · April 1, 2024, 12:57pm

Вы проверяли используемый в результате шифронабор через дамп или из репорта curl в строчке: SSL connection using TLSv?

There are new ciphersuites that only work in TLSv1.3. The old ciphersuites cannot be used for TLSv1.3 connections and the new ones cannot be used in TLSv1.2 and below.

    TLS_AES_256_GCM_SHA384
    TLS_CHACHA20_POLY1305_SHA256
    TLS_AES_128_GCM_SHA256
    TLS_AES_128_CCM_8_SHA256
    TLS_AES_128_CCM_SHA256

anonimnyj24 · April 1, 2024, 1:21pm

А да, странно что curl в принципе не выкинул ошибку

libneko · April 1, 2024, 1:53pm

Оставил сообщение на форуме cloudflare: https://community.cloudflare.com/t/russia-blocks-tls-v1-2-requests-to-cloudflare-edges/636460

ValdikSS · April 1, 2024, 2:49pm

Причина, похоже, всё же не совсем в cipher’ах. Наиболее вероятно то, что цензурирующей системе не нравится что-то в ответе сервера, а не в запросе клиента. Я воспроизвёл проблему на своём сервере (не IP Cloudflare), проксируя запросы к Cloudflare.

Это объясняет, почему с TLS 1.3 нет проблем (у TLS 1.2 и 1.3 ответы прилично различаются), и почему изменение Cipher’ов исправляет проблему (ответ сервера меняется, возможно, просто сравниваются определённые байты на определённых местах). Кроме того, проблема не проявляется при подключении к community.cloudflare.com, а там используется другая цепочка сертификатов.

Поотлаживайте, у кого есть время и желание.

aypetrov · April 1, 2024, 4:00pm

Вероятно проблема не в фильтрации Client Hello, а в фильтрации Server Hello. Когда в нем первым шифром идет ECDHE-RSA-AES128-GCM-SHA256 - соединение блокируется. Для TLSv1.3 шифры другие поэтому и проблема исчезает.

Поэтому изменение порядка шифров тоже может излечить проблему при условии что CF выбирает первый поддерживаемый из списка.

Shii · April 1, 2024, 4:11pm

Кажется, заработало. vrchat.com и app.plex.tv начали открываться сами по себе.

neikist · April 1, 2024, 4:53pm

Ага, похоже откатили. У нас прошлые версии приложения тоже заработали.

Mixaill · April 1, 2024, 5:20pm

Да, начали поэтапно откатывать начиная с 18:10 UTC+3

0ka · April 1, 2024, 9:03pm

del

anonymous132 · April 3, 2024, 12:56am

Это была сигнатура для Lantern. Сервера опознают по шифру, количеству сертификатов в цепочке и возможно их размеру. УЦ разные, к ним привязки нет. Результат вы видели.