Мой nyan.pw перестал открываться. Сижу на Free тарифе CF.
Момент.
Перестал работать VPN с маскировкой под samsung.com (у него включен ECH). Давало ошибку PR_END_OF_FILE_ERROR в Firefox.
Поменял маскировку на odysee.com (у него оно не включён) и всё заработало.
У меня официальный сайт телеканала 2x2 не грузится (2x2tv.ru и media.2x2tv.ru). А еще dtf.ru не открывается.
Эти сайты за Cloudflare и у них включен ECH.
Я отключил TLS 1.3 на своем сайте, более часа назад, до сих пор не отключился.
Кто-нибудь еще отключал, это вообще работает?
Мне не смешно. Я знал, что рекомендовал и рекомендательный характер приказа был. Просто сейчас в текущих реалиях на это смахнет и все. Просто тут пишут бизнес, а че бизнес. Этому бизнесу скажут, а мы вот ж говорили (аж больше 10 лет назад). Да, спасибо, что нашли. И вроде было еще раз.
Ну, а на людской сброд им пофиг, что им там надо. Делаем че хотим, а народ потерпит.
А еще Ростелеком тоже предупреждал, что сервисам Google тоже типа каюк будет в ближайшее время. Достаем VPN и попкорн.
Работает, я выше уже писал, что на своём отключил. Отовсюду проверил - работает.
По поводу “выстрела в ногу”: проверьте https://school329.spb.ru/ Сайт за CF. Есть ECH, поэтому может не грузиться. Этот сайт случайно нашел в этом списке https://www.gov.spb.ru/gov/terr/nevsky/obrazovanie/shkoly/
Как быстро проверить все свои сайты в закладках есть ли у них ECH формируем лист формата
suite1.com
suite2.com
Записываем в файл suite_my_books.txt (название не играет роли принципиально, но если правите, то в команде подправьте)
Запускаем команду
truncate -s 0 ./output_check.txt && for suite_check in $(cat suite_my_books.txt); do curl -4s "https://dns.google/resolve?name=${suite_check}&type=HTTPS" | jq; done >> ./output_check.txt
Для работы требуется curl и jq, чтобы они были установлены.
После выполнение смотрим файлик output_check.txt если под соответствующей записью домена есть ech=, то у сайта подрублен ECH. Проверяйте откроется ли он без VPN\дурилки.
P.S У меня вообще пиздец по закладкам вообще почти ВСЕ.
Из 449. 74 сайта с ECH
AdGuard Home
Filters - Custom filtering rules
#
# block - encrypted client hello
||*^$dnstype=HTTPS,dnsrewrite=NXDOMAIN;;
#
Result check
Query Log - Rewritten
Жаль, что нет варианта только cloudflare-ech.com в ответе блочить. Надо будет issue на github создать с предложением, может сделают
аналогично, завернул этот домен в прокси, не работает…
если пустит весь трафик в впн то сайты открывает…
Ну, как выше пояснили, это из-за особенностей работы ECH. Я так понимаю, что там реальный запрос запихивается внутрь запроса к cloudflare-ech. Браузерные ВПН триггерятся по реальному адресу, поэтому проксирование cloudflare-ech ничего не дает. По идее, системные ВПН должны работать? Т.к. запрос уже покинул браузер и там подсунут сни клаудфлейра?
Вот тут подрбнее.
Отключить ECH можно и в последних версиях Chrome: Disabling Encrypted ClientHello in Google Chrome, and Why | Chaser Systems
Аналогичный механизм enterprise policies должен быть и у FF.
Google очень не любит частую смену ипишников. Поэтому я всем сейчас незамедлительно рекомендую взять блокнот и записывать все-все-все сервисы на которых вы когда либо регались на gmail и переводить их в другой мейл, разумеется не русский
По какой-то другой причине перестал работать у вас VPN. Нет ECH на samsung.com.
Хз о чем речь, но спасибо за рекомендацию добавить в блэклист гудбая, сайты вновь открываются.
А так на дефолтных настройках, еще хорошо справляется ныне пошивший Бистро 1.2