Emory<p><span class="h-card" translate="no"><a href="https://mastodon.gamedev.place/@lunarood" class="u-url mention" rel="nofollow noopener" target="_blank">@<span>lunarood</span></a></span> <span class="h-card" translate="no"><a href="https://infosec.exchange/@briankrebs" class="u-url mention" rel="nofollow noopener" target="_blank">@<span>briankrebs</span></a></span> for anyone curious this sidebar about Encrypted Client Hello <a href="https://soc.kvet.ch/tags/ECH" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>ECH</span></a> and you can read about it and what happens when you setup a <a href="https://soc.kvet.ch/tags/TLS" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>TLS</span></a> connection for gmail, your google searches, or any opportunistic tls you have from extensions like `https everywhere` or similar. </p><p><a href="https://blog.apnic.net/2025/02/17/appropriate-access-and-methods-to-ensure-are-changing" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">blog.apnic.net/2025/02/17/appr</span><span class="invisible">opriate-access-and-methods-to-ensure-are-changing</span></a></p><p>i occasionally block outbound port 80/tcp and 53/udp via host filtering/sd-wan rules or other policy engines on my devices. </p><p>good reminder from <span class="h-card" translate="no"><a href="https://mastodon.gamedev.place/@lunarood" class="u-url mention" rel="nofollow noopener" target="_blank">@<span>lunarood</span></a></span> that we're not quite there yet.</p>
Administered by:
#ech
0 posts0 participants0 posts today
Replied in thread
@bagder @jelu @icing I think there is a case for #DNSSEC in curl because of #SMTP and the slowly increasing support for #DANE #TLSA. In my book that’s the premiere method of TLS downgrade protection in the email world.
But that has time. I’m already glad if #HTTPS #ECH is supported in (my) curl sometime soon 
Да, на #ТСПУ началась блокировка TLS 1.3 соединений использующих ECH (Encrypted Client Hello).
Проверяется легко, если в #Firefox можно через about:config отключить использование ECH:
network.dns.echconfig.enabled в false
При этом не обязательно трогать network.dns.http3_echconfig.enabled
А вот пользующиеся #Chrome и #Chromium в полном пролёте — возможность отключения #ECH теперь уже не предусмотрена. Убран и отправлен в небытие старый-добрый:
chrome://flags#encrypted-client-hello
После отключения ECH возвращается работоспособность таких безобидные сайтов как:
Ожидаемо, что по этой причине Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора пошлёт в пешее путешествие всех недовольных с жалобами. Предложив использовать браузеры, позволяющие отключать ECH.
Формально Роскомпозор блокирует лишь одно из расширений TLS 1.3, а не сам протокол. По причине того, что #Cloudflare включил использование #ECH для всех своих клиентов по умолчанию.
А горстка слабохарактерных идиотов, так и не смогла сделать ECH частью протокола TLS 1.3 — история тянется аж с 2018 года.
Уж очень много копий было сломано, пока уходили от 1.2 версии #TLS в сторону 1.3, шествие было очень длинным и напряжённым. И людишкам не хватило воли с характером на включение в 1.3 таких вещей как ECH — в раннем варианте это звалось ESNI и не выглядело зрелым решением.
idealists.suAkkoma
I just noticed that my #Firefox was sending network traffic either with HTTP/2 + #ECH + #X25519MLKEM768, or with HTTP/3, but without ECH or X25519MLKEM768. Then I dug into about:config and found the option network.http.http3.enable_kyber, enabling it fixed the above behavior. HTTP/3 + ECH + X25519MLKEM768 is now used. Maybe check your Firefox behavior to ensure ECH and post-quantum key exchange is used whenever possible. Test site: https://cloudflare-ech.com/cdn-cgi/trace
Looks like Russia is now blocking Cloudflare's Encrypted Client Hello traffic if:
- SNI is cloudflare-ech.com
- TLS ClientHelloOuter contains the "encrypted_client_hello" extension
https://github.com/net4people/bbs/issues/417
Russia officially recommends "owners of information resources disable the TLS ECH extension or, more correctly, use domestic CDN services".
https://cmu.gov.ru/ru/news/2024/11/07/рекомендуем-отказаться-от-cdn-сервиса-cloudflare/
With increased ECH use, I expect certain other actors to follow suit.
![[Discussion moved from #393 (comment). NTC threads are https://ntc.party/t/12837 (technical information) and https://ntc.party/t/12732 (discussion).] Cloudflare's deployment of Encrypted Client Hel...](https://files.techhub.social/cache/preview_cards/images/036/619/954/original/3f383273425d6169.png "[Discussion moved from #393 (comment). NTC threads are https://ntc.party/t/12837 (technical information) and https://ntc.party/t/12732 (discussion).] Cloudflare's deployment of Encrypted Client Hel...")
GitHubBlocking of Cloudflare ECH in Russia, 2024-11-05 · Issue #417 · net4people/bbs
Появилась возможность протестировать связку протоколов ECH + QUIC!
Роскомнадзор начал блокировку сайтов с шифрованием ECH (Encrypted Client Hello) от Cloudflare.
Недавно Cloudflare внедрила технологию ECH для всех сайтов на своих серверах — это 24 млн страниц.
-Активное шифрование ECH нарушает российское законодательство, так как имеет возможности обхода ограничений доступа к запрещенной информации в России.
Пользователи в РФ уже начали жаловаться на недоступность тысяч сайтов, использующих ECH.
Роскомнадзор советует владельцам ресурсов отказаться от использования CDN-сервиса CloudFlare и переходить на отечественные CDN-сервисы.
src:
https://portal.noc.gov.ru/ru/news/2024/11/07/%D1%80%D0%B5%D0%BA%D0%BE%D0%BC%D0%B5%D0%BD%D0%B4%D1%83%D0%B5%D0%BC-%D0%BE%D1%82%D0%BA%D0%B0%D0%B7%D0%B0%D1%82%D1%8C%D1%81%D1%8F-%D0%BE%D1%82-cdn-%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D0%B0-cloudflare/
https://habr.com/ru/news/856722/
portal.noc.gov.ruРекомендуем отказаться от CDN-сервиса CloudFlare | Новости
блокировки сайтов на хетцнере
Seems like blocking #Cloudflare's #ECH was not enough for #Roskomnadzor's clowns.
In addition, I cannot access the following sites I regularly use, even with DPI bypassing software:
I can confirm it's not broken just for me with GlobalCheck (https://globalcheck.net/en/).
What's in common? They are all hosted on #Hetzner.
#Russia already blocked Hetzner, #OVH and #Linode earlier this year for a short period. They do this kind of "testing" from time to time.
Mastodon hosted on wetdry.worldWet-Dry WorldWe are a community focused on gaming, tech, entertainment, and more.