Использование ESNI (Encrypted SNI) в России

По поводу Firefox я похоже отстал от жизни. Вот, из changelog:

HTTPS DNS records can now be resolved with the operating system’s DNS resolver on specific platforms (Windows 11, Linux, Android 10+). Previously this required DNS over HTTPS to be enabled. This capability allows the use of HTTP/3 without needing to use the Alt-Svc header, upgrades requests to HTTPS when the DNS record is present, and enables wider use of ECH.

Почему в списке ОС нет Win10 - не понятно.

Там какой-то баг детекта системного DoH.

Я хз. Про то, что в Китае заблочен tls 1.3 читал на реддите. Где здесь правда, где выдумка - утверждать не возьмусь, разбираться тоже лень. Хотя, в Китае же, вроде, используют VMESS, а не VLESS. Первый сам шифрует, второй полагается на шифрование tls. Если я не ошибаюсь. Возможно тут есть связь. Хз.

Блин, только не говорите, что придется на вин11 пересаживаться в скором времени :face_exhaling:

Win 10 ожидает EOS в 2025 году, так что да - придётся.

У меня ltsc, она до 2027.

т.е. грубо говоря вместо russian-blacklist можно этот файлик domains_all_withoutECH.txt со списком использовать?
И кстати почему в domains_all_withECH.txt есть домены 3-го уровня с www (например www.rutracker.org когда уже есть rutracker.org) или это просто особенность проверки была при формировании списка?

Ну так изначальный список же не мой. Я просто взял его с репозитория re-filter и прогнал по нему проверку наличия ECH. Почему там домены 3-го уровня - спрашивайте у них.

В теории да, можно использовать этот список вместо russia-blacklist. В крайнем случае, всегда можно легко вернуться к прежнему списку.

в запрете еще есть фильтр tcp port 80. Вот там по логике лучше исходный фильтра оставить? там то вообще нет SNI. Ну сайтов на чистом http конечно мало, тем более заблоченных, там только перенаправление обычно на https. Но по логике там тспу проверяют на поле Host заголовка?

это ясно. у меня вообще несколько батников не в режиме службы, так что проверяется легко.

Смотрю с чудо скриптами на batch покаончено и теперь go. Плюс скриптов был в том что в них можно было “подсмотреть” механизм проверки, тем более если это был вызов curl :slight_smile:

Я сам продолжаю сидеть на batch версии, мне ее хватает более чем. На версию go переходить не собираюсь даже.

Несколькими постами выше лежит batch скрипт для проверки наличия ech у сайта. Там можете подсмотреть.

Ech, насколько мне известно, работает только с https, так что для 80 порта, конечно, этот список будет не особо полезен.

Впрочем, сайты без поддержки https - это вообще реликт прошлого. Я себе в браузере поставил режим принудительного https и хуже мне от этого не стало.

Вообще, можно поставить фильтрацию на 80 порт без хост листа. Не думаю, что это особо навредит, учитывая редкость чистого http.

А какому-нибудь рутор.инфо - стало. Просто пример, сам не понимаю, начерта это еще кому-то надо.

Увидел спасибо.
Грубо говоря запрос типа записи HTTPS и парсинг что в ответе есть поле ECH?

У них уже есть https.

Где он есть? Послать билеберду в ответ на запрос браузера - это не есть https ) Отбой, обходилка чертова ломает сервер хелло, через прокси все норм (

Обновление на основе вчерашнего листа от re-filter (22463 домена без ECH).
domains_all_2024_10_24_withECH.txt (344,7 КБ)
domains_all_2024_10_24_withoutECH.txt (402,2 КБ)

Можно просто DoH в браузере включить. Речь же шла об использовании DNS преобразователей системы.

Я, кстати, погуглил, и там есть какой-то лайфхак с реестром, чтобы включить системный doh в вин 10. Но у меня не заработало, увы.

Please permit me to correct you. TLS 1.3 has never been blocked in China. In reality, what was blocked in China in 2020 was not TLS 1.3, but only TLS connections using ESNI. See: Exposing and Circumventing China's Censorship of ESNI. Because ESNI required TLS 1.3, some news outlets published articles that unfortunately gave the impression that all TLS 1.3 was blocked in China, and the misconception persists to today.

There’s another important difference between ESNI in 2020 and ECH today. ESNI was never seriously deployed. Cloudflare had server support, but it was not enabled by default in any browsers. Nobody was actually using ESNI. That is why, when ESNI was blocked in China, it was only noticed by a specialist who was experimenting with some custom software. It was quite unlike the blocking of ECH in Russia in 2024, which was immediately noticed by thousands of ordinary users.

TLS 1.3 still works fine in China. As far as I know, there is no evidence of ECH being blocked in China. (Except for the DNS and DoH/DoT censorship that already happens there, which could have an effect on ECH.)

В Windows 10 использование системного резолвера включается настройкой network.dns.native_https_query_win10

Оно отключено по умолчанию, поскольку в Windows 10 вызов DnsQuery_A возвращает некорректное значение.

До тех пор, пока Microsoft не исправит ошибку, в Windows 10 следует использовать встроенную в Firefox реализацию DoH.

Yeah, I’ve already found it out. It’s just that I’d seen it mentioned everywhere on reddit, so I simply took it as a proven fact. What can I say? A classic case of a lie being repeated too often… :face_exhaling:
Kinda reminded me of a Kurzgesagt’ video I watched a week ago, about something widely accepted, but ultimately untruthful. Though it’s unrelated, uh.

Anyway, thank you for the further clarification! :+1: