У меня в браузере без Doh не работает ESNI соответственно. По этому должно помогать.
Не знаю как у вас, но у меня отключение TLS 1.3 отключило именно ECH, а не сам TLS 1.3.
здесь ech= пропал:
dig +short example.com HTTPS
но так соединяется:
openssl s_client -connect example.com:443 -tls1_3
Правда сайт не просто проксируется, но и хостится на CF Pages.
Что-то не выходит, вот такое вываливает:
{“success”:false,“errors”:[{“code”:6003,“message”:“Invalid request headers”,“error_chain”:[{“code”:6105,“message”:“Invalid Content-Type header, valid values are application/json,multipart/form-data,application/scim+json”}]}],“messages”:,“result”:null}curl: (6) Could not resolve host: Bearer
curl: (3) URL rejected: Bad hostname
curl: (6) Could not resolve host: application
Что ему не так? Mingw curl виндовый.
API KEY домена верно вводишь? Взять его можешь например с примера обращения к API то что между zones и settings
Да, верно, брал на главной домена, но в разделе на картинке такой же.
Так, для начала кавычки должны быть двойные, уже легче: "Malformed JSON in request body
Пишут, надо так:
-H "Content-Type: application/json" --data "{\"value\":
"off"}"
но что-то всё равно false
Ага, надо так:
-d "{\"value\":\"off\"}"
Теперь Unauthorized to access requested resource
Токен же должен иметь права на Edit zone DNS?
Так, победил иначе (винда):
> curl -X PATCH "https://api.cloudflare.com/client/v4/zones/<Zone-ID>/settings/ech" -H "X-Auth-Email: *@***.com" -H "X-Auth-Key: <Global Api Key>" -H "Content-Type: application/json" -d "{\"id\":\"ech\",\"value\":\"off\"}"
Это было ожидаемо.
Придётся на ведре отключить DOT / DOH / DOH3 на уровне ОС и в настройках хрома. И терпеть провайдерский днс, который подменяет ответы.
Кто сидел на лисе и при этом не имел поддержки DOH3 на уровне самой ОС, у тех и так ECH не работал (лиса не умеет ECH, когда днс есть только по DOT).
Минус в том ,что теперь вместо условного рутрекера будет на заглушку отправлять. Ну и вообще хуже резолвить.
Плюсы - не придется пол интернета в проксю загонять.
На ПК можно оставить DOH на уровне ОС (dnscrypt-proxy).
Но при этом выключить ECH в конфигах браузеров (пока что).
Ну а заблоченые сайты в любом случае резолвились через проксю. Поэтому подмена провайдера на заглушку не сработает.
Имеете введу в лисе Включить DNS через HTTPS, используя: ?
Я давно его не использую. Это если зайти сюда https://www.cloudflare.com/ru-ru/ssl/encrypted-sni/
называется Защита SNI, у меня на одном прове недавно тоже заблокировали эту фигню, я ещё удивился, просто включил проверить, а она не работает, сначала подумал что я накосячил, но не стал разбираться, с час понял что заблокировали. Вы не путайте с DOH, эта функция в браузере работает немного по другому. А отключил я её, потому что она постоянно, наверно чуть ли не каждых 10 сек отправляет днс запрос и стандартный встроенный в винду кэш днс она не использует, тупо постоянно отсылает запросы, что меня кумарило, нагрузка лишняя на сеть, поэтому я давно не использую эту хрень. В браузере можно вроде выключить поддержку SNI, а просто doh работать будет, почитайте где нить, я не помню как.
SNI она же (ECH) в последнее время открывала сайты заблоченые, поэтому начали блокировать.
Обычный DOH просто использует днс который вы поставите, то есть не прова, а то что вы захотели, тем самым пров не видит куда вы там полезли, точнее логи не сохранят.
Если использовать прова днс, то он может его заблокировать, перенаправить вас куда нить, сохраняет логи всех запросов, чтоб потом когда нить вас подтянуть в случаи чего )
Вот так смотришь, пройдёт ещё немного времени и вернётесь на вин 7, откажетесь от нэта в телефоне и все кто говорил что ему нечего скрывать, изменит своё мнение, если успеет его изменить )
Вижу, что некоторые сайты начали отключать ECH (например DTF), остальные всё также в отключке.
Как починить ech, а не отключать его?
Добавляю *.cloudflare-ech.com в список проксирования антизапрета(со своими прокси) - не помогает.
И РКН даже ничего не прокомментировало (как это было с Ютубом или Дискордом). Просто в тихую накосячили и молчат.
Подтверждаю, что отключение DoH и использование провайдерского DNS возвращает к жизни все сайты с ECH (по моим закладкам), хотя могут быть единичные затупы (сайт может долго открываться, помогает обновление страницы пару раз).
Но сидеть с провайдерским DNS, действительно, как то не очень.
Вот, тут Ori писал об этом, может как-нибудь поможет.
а вам не кажется, что если смотреть чуть наперед, как будто бы DOH уже в принципе использовать в режиме по умолчанию не стоит? Оставить его только для обходных вариантов и всё, ибо рисовать себе такой портрет для провайдера < ркна уже не выглядит перспективно
Лиса (последняя, в годных осях типа линукса) умеет ECH даже с простым DNS (если в браузере DoH отключен, а в системе нешифрованный 1.1.1.1, например).
Смотрите, rutracker только в днс запросах упоминается, а сайт открывается.
И правда работает ECH с провайдерским днс. Я же проверял несколько месяцев назад - не работало. Недавно запилили?
И почему на ведре тогда не может без поддержки DOH3 на уровне OS? Это я проверял уже буквально недели 2 назад. Когда в андроиде завезли только DOT, то ECH в лисе не пашет. А хрому всё равно. И через DOT на уровне OS будет работать ECH. И если в самом браузере включить DOH3, тем более работает.
Ну да ладно. Теперь уже не важно. Хороним DOH/DOT в ведре.
блин какая разница doh или нет
я сейчас на рабочем пк не смог открыть сайт с ech, когда там нет никакого doh, днс от ростелекома и яндекс браузер
что у вас за методичка по отключению doh
Ну вот на андроид в лисе без DOH не работает и ECH. На пк так же было раньше. Сейчас перепроверил на линуксе - теперь дох не нужен, ECH работает даже с днс по DHCP. Если на ведре так же сделают в лисе, то кирдык. Придётся вообще весь трафик рулить в прокси. Ибо about:config на ведре в лисе недоступен, чтобы выключить ECH.
В хроме конфига тоже нет, но ECH отключается, когда в свойствах браузера нет защищенного днс и на уровне OS нет, ни DOT, ни DOH.
Ещё один головняк добавили паскуды РКНовские.
Да, в 129 завезли.
DNS-записи HTTPS теперь можно разрешать с помощью преобразователя DNS операционной системы на определенных платформах (Windows 11, Linux, Android 10+). Раньше для этого требовалось включить DNS over HTTPS. Эта возможность позволяет использовать HTTP/3 без необходимости использования заголовка Alt-Svc, обновляет запросы до HTTPS при наличии записи DNS и обеспечивает более широкое использование ECH.
Такое сделали либо по дурости, либо приняли серьезное решение на самом верху.
Со временем весь интернет перейдет на ECH, достаточно лишь запилить поддержку из коробки в nginx и прочих. Возможно, это начало того самого Чебурнета ))
Может кэш?
тоже не понял, но гайдов таких полно почему-то
мне не помогло, добавил домен ECH в Zapret