Проверил. Да, не работает без “дурилки”.
Но это тогда выстрел в голову, так как полегли сайты, которые совсем не причем.
1 Like
Не говори гоп
У части провайдеров походу произошел выстрел в голову.
Согласен. На том же билайне у меня все робит, но вот проводной умер.
Интересно попробовать малоизвестные DNS…
Скорее всего, не поможет, так как сайт будет “стучаться” к ECH Cloudflare, а его замедляют.
Но попробовать стоит, только я малоизвестных DNS не знаю. Ждем отзывов других людей.
билайн теперь тоже заблокирован по sni [cloudflare-ech.com]
впринципе можно либо его добавить в хостлист
либо сам сайт, но тогда сайт подтупливает некоторое время при обращении к CF
Да, я тоже проверял в глобале, но коннект не проходит. Error.
напрямую открывается, но без добавления в хостлист не проходит проверку защита sni
https://www.cloudflare.com/ru-ru/ssl/encrypted-sni/
в вайршарке при открытии ECH сайта соответственно обращения идут сначала к cf
РТ Урал, подтверждаю нерабочий ECH (cloudflare и гугла) с сегодняшнего числа.
и спасибо ркн за самые увлекательные конкурсы в этом году. также ждём сломанный рунет на новогодние праздники.
У меня даже результаты не выводятся, пока обход не врубишь. Видимо, стопорится на SNI и сайт ломается.
выведутся минут через 5
Значит должны перестать открываться все сайты на Cloudflare, поддерживающие ECH, даже те, которые не заблокированы (при условии включенного ECH в браузере, конечно). У кого-нибудь есть пример, чтобы проверить?
Вот, скинули выше. Я проверил, у меня не робит без “дурилки”. Сайт на ECH. Проверял чекером от Ori.
То что не сломается силами РКН , то отвалиться силами бизнеса.
Щас просто в игру бизнес сегмент не пришел и не начал разбираться.
Допекут и состав РКН будут вешать…
Йота, Нск. ECH накрылся. Проверял в последнем ungoogled chromium (130.0.6723.91) с дефолтными настройками на линуксе.
- DoH в браузере включен (Cloudflare, OpenDNS)
Браузер пытается подключаться с ECH. Таймаут. - DoH в браузере отключен. В системе указан (нешифрованный) 1.1.1.1 вместо провайдеровского.
Браузер пытается подключаться с ECH. Таймаут.
Провайдер DNS не подменяет. Браузер отправляет HTTPS запись, в ответе в Wireshark видны параметры echconfig. - DoH в браузере отключен. В системе указан провайдеровский DNS 10.0.0.1.
Браузер не использует ECH, в SNI отправляет адрес сайта (например,rutracker.org). Ошибка SSL.
Однако, провайдер DNS не подменяет. Браузер всё также отправляет HTTPS запись, в ответе в Wireshark всё также видны параметры echconfig, однако браузер не пытается использовать ECH, в отличии от варианта 2 (где была попытка использовать ECH, несмотря на отключенный DoH).
Правда, Meduza таки прорвалась после нескольких попыток и стала открываться какое-то время. Но rutracker, kinozal нет.
https://ysaa.ru/ не открывается. Но ошибка другая, сразу появляется ERR_SSL_PROTOCOL_ERROR. В Wireshark видно, что ECH не используется там, а SNI ysaa.ru, но соединение не устанавливается почему-то. Мне так и не удалось добиться его открытия.
Под VPN однако https://ysaa.ru/ открывается и использует ECH.
РКН всё-таки выстрелил себе в ногу. Но действительно вопрос, много ли невинных сайтов затронуло?
ECH включен в современных браузерах и не отключить. DoH может быть по умолчанию отключен. Но браузер пытается использовать ECH даже с обычным DNS (это возможно). Но почему-то кроме провайдеровского, хотя параметры echconfig в ответе видны.
Действительно, хотелось бы побольше валидных сайтов для проверки. А то окажется, что их почти и нет. А за CF с ECH на бесплатном тарифе сидят только заблокированные.
Не очень удачный пример. https://ysaa.ru/ по какой-то причине не откывается даже тупым curl без поддержки ECH. Висим после отправки Client Hello.
К сожалению, других примеров больше нет.
Проверял ECH сайты из списков Ori (не работали без обхода), его же чекером и этот сайт проверял. Он выдавал, что ECH support.
Вот ссылочка на листы, а вот на тестер.
это хороший пример
в вайршарке первым идет client hello от cf
Скорее всего ТП провайдеров посоветует людям отключить DoH и использовать провайдеровские DNS в случае каких-либо жалоб, да и всё. Назад в прошлый век.