По поводу Firefox я похоже отстал от жизни. Вот, из changelog:
HTTPS DNS records can now be resolved with the operating system’s DNS resolver on specific platforms (Windows 11, Linux, Android 10+). Previously this required DNS over HTTPS to be enabled. This capability allows the use of HTTP/3 without needing to use the Alt-Svc header, upgrades requests to HTTPS when the DNS record is present, and enables wider use of ECH.
Я хз. Про то, что в Китае заблочен tls 1.3 читал на реддите. Где здесь правда, где выдумка - утверждать не возьмусь, разбираться тоже лень. Хотя, в Китае же, вроде, используют VMESS, а не VLESS. Первый сам шифрует, второй полагается на шифрование tls. Если я не ошибаюсь. Возможно тут есть связь. Хз.
Блин, только не говорите, что придется на вин11 пересаживаться в скором времени
т.е. грубо говоря вместо russian-blacklist можно этот файлик domains_all_withoutECH.txt со списком использовать?
И кстати почему в domains_all_withECH.txt есть домены 3-го уровня с www (например www.rutracker.org когда уже есть rutracker.org) или это просто особенность проверки была при формировании списка?
Ну так изначальный список же не мой. Я просто взял его с репозитория re-filter и прогнал по нему проверку наличия ECH. Почему там домены 3-го уровня - спрашивайте у них.
В теории да, можно использовать этот список вместо russia-blacklist. В крайнем случае, всегда можно легко вернуться к прежнему списку.
в запрете еще есть фильтр tcp port 80. Вот там по логике лучше исходный фильтра оставить? там то вообще нет SNI. Ну сайтов на чистом http конечно мало, тем более заблоченных, там только перенаправление обычно на https. Но по логике там тспу проверяют на поле Host заголовка?
это ясно. у меня вообще несколько батников не в режиме службы, так что проверяется легко.
Смотрю с чудо скриптами на batch покаончено и теперь go. Плюс скриптов был в том что в них можно было “подсмотреть” механизм проверки, тем более если это был вызов curl
Please permit me to correct you. TLS 1.3 has never been blocked in China. In reality, what was blocked in China in 2020 was not TLS 1.3, but only TLS connections using ESNI. See: Exposing and Circumventing China's Censorship of ESNI. Because ESNI required TLS 1.3, some news outlets published articles that unfortunately gave the impression that all TLS 1.3 was blocked in China, and the misconception persists to today.
There’s another important difference between ESNI in 2020 and ECH today. ESNI was never seriously deployed. Cloudflare had server support, but it was not enabled by default in any browsers. Nobody was actually using ESNI. That is why, when ESNI was blocked in China, it was only noticed by a specialist who was experimenting with some custom software. It was quite unlike the blocking of ECH in Russia in 2024, which was immediately noticed by thousands of ordinary users.
TLS 1.3 still works fine in China. As far as I know, there is no evidence of ECH being blocked in China. (Except for the DNS and DoH/DoT censorship that already happens there, which could have an effect on ECH.)
Yeah, I’ve already found it out. It’s just that I’d seen it mentioned everywhere on reddit, so I simply took it as a proven fact. What can I say? A classic case of a lie being repeated too often…
Kinda reminded me of a Kurzgesagt’ video I watched a week ago, about something widely accepted, but ultimately untruthful. Though it’s unrelated, uh.