Периодический отвал TLS 1.3 и Secure SNI

Avatar-Lion · October 8, 2025, 9:46am

Часто не грузятся совершенно рандомные сайты (ошибка ERR_CONNECTION_RESET). После долгих мучений браузера и запрета (что на Винде, что на роутере) и всяких стратегий из блокчека понял, что все это прямого отношения к проблеме не имеет.

Для тестов использую https://imgbb.com/ - хостинг картинок, который не открывается чаще всего. Но иногда все же открывается. Разницу заметил в следующем:

Стал копать дальше. Набрел на Cloudflare Browser Check - и начал там тестировать свой браузер. Там-то и увидел, что периодически отваливается либо TLS 1.3, либо Secure SNI (либо и то, и другое). Но иногда все тесты проходят все же нормально (все проверки проводились с отключенным Запретом):

Я так понимаю, когда звезды встают как надо (т.е. работает TLS 1.3 и Secure SNI), сайты по типу https://imgbb.com/ открываются без проблем. Но такое совпадение бывает очень редко, чаще всего я вижу ERR_CONNECTION_RESET.

Собственно, вопрос: можно ли как-то добиться нормальной работы TLS 1.3 и Secure SNI?

Streptococcus · October 8, 2025, 9:52am

хочется спросить: с какой вы планеты?))

TLS 1.3 еще в прошлом году начали “закрывать” ркновцы.. ECH это хорошо для вас, но не ркн. Поэтому забудьте.

exz · October 8, 2025, 9:54am

можно. подобрать рабочую страту для encryptedsni.com, cloudflare-ech.com если в этом есть необходимость

Avatar-Lion · October 8, 2025, 10:07am

Как тогда это соотносится с успешным прохождением он-лайн теста? Я понимаю, если бы он всегда показывал отвал TLS 1.3, тогда вопросов не возникало бы. И если бы все сайты никогда не открывались. Но периодически ведь все работает. Ну то есть я догадываюсь, что где-то есть брешь в блокировках и я хочу понять как ее нащупать, т.к. у меня просто хренова туча сайтов не открывается (ERR_CONNECTION_RESET) в рандомные моменты. Хотелось бы пофиксить это, наконец.

Avatar-Lion · October 8, 2025, 10:08am

О какой стратегии идет речь? Раз сайт с он-лайн тестом открывается нормально, то он ведь не заблокирован. Или мы о разных вещах говорим?

exz · October 8, 2025, 10:12am

Сам сайт с тестом работает без ЕСH

Avatar-Lion · October 8, 2025, 10:20am

ОК. Как я могу тогда проверить все это дело? Пинг до cloudflare-ech.com проходит, но я так понимаю, это не показатель.

vlads · October 8, 2025, 8:27pm

Наблюдаю похожую (по описанию) картину, но у меня причина немного другая, точнее мне она не известна, но я выяснил из-за чего она появляется. По скриншотам видно, что вы используете firefox, а если попробовать другой браузер, например ungoogled chromium (или просто chromium)?

spv82 · October 9, 2025, 7:34am

 ~ $ curl-quiche -s --http3-only --ech hard --doh-url https://1.1.1.1/dns-query https://encryptedsni.com/cdn-cgi/trace | grep '^sni'
sni=encrypted
 ~ $ gocurl --ech --dns-servers=tls://1.1.1.1 https://encryptedsni.com/cdn-cgi/trace | grep '^sni'
sni=encrypted

На сайте тоже запрос к encryptedsni.com

В Wireshark по tls.handshake.extensions_server_name contains "cloudflare-ech.com"

Avatar-Lion · October 9, 2025, 5:06pm

Нет, это штатный Edge (Win11). Впрочем, в других браузерах (Firefox, Opera) ситуация аналогичная. Если есть какая-то информация по проблеме, то можете поделиться.

Avatar-Lion · October 9, 2025, 5:07pm

Но это же странно, согласитесь. Связь то есть, то нет. Роскомнадзор там что, рубильник туда-сюда дергает что ли?

uwu · October 9, 2025, 5:20pm

так он открывается нормально по tls 1.2 и без ech
и без обходов

по вайфай с телефона то же самое?) пушто у вас какая то проблема с криптографией на пк, больше на это похоже

Avatar-Lion · October 9, 2025, 5:37pm

Да, разумеется, проблема наблюдается на всех устройствах (ПК и телефоны на Андроиде), которые выходят через городского провайдера. Если на телефоне перейти на мобильный интернет, то все открывается нормально. Сразу скажу: в тех.поддержку обращался, там проблему подтвердили, но развели руками - блок где-то выше, они на это повлиять никак не могут.

У меня на роутере есть тестовое VPN-соединение, можете с компа подключиться ко мне и сами всё увидите, у вас тоже резко начнутся “проблемы с криптографией” :)))

uwu · October 9, 2025, 5:47pm

проверьте есть ли блок imgbb на новой сессии от провайдера без лишних соединений куда-либо (лучше через curl)

Avatar-Lion · October 9, 2025, 7:12pm

Выключил интернет в личном кабинете провайдера на 5 минут. Потом включил обратно. imgbb.com сначала открылся было, потом опять отвалился (ERR_CONNECTION_RESET).

Curl показывает примерно ту же ошибку что и браузер:

uwu · October 9, 2025, 7:15pm

и после этого выдали новый ip? оки
и + вы убедились, что с роутера нет лишних соединений куда-либо например, через шарк

крч как только будете тестировать то, что нужно. то возможно и выйдете на решение

Avatar-Lion · October 9, 2025, 7:15pm

IP у меня куплен белый, прописан прямо на роутере, поменять его я по понятным причинам не могу.

И что значит “лишние соединения”? Лишние - это какие?

vlads · October 11, 2025, 7:34am

По поводу imgbb.com, у меня он тоже не открывается. И основная стратегия zapret для разблокировки основной массы сайтов не помогает. Наверно можно подобрать, не изучал. Через прокси нормально открывается. Провайдер проводной, э.

Hentay · October 11, 2025, 8:27am

Значит стратегия для данного сайта не подходит и требуется внести его в отдельный лист/стратегию (гит- множественная стратегия)

m0xfff · October 11, 2025, 8:58am

У imgbb.com адрес 45.43.142.0 забанен по ip. Если использовать для доступа ip 104.21.16.1, то будет работать.