@bagder @jelu @icing I think there is a case for #DNSSEC in curl because of #SMTP and the slowly increasing support for #DANE #TLSA. In my book that’s the premiere method of TLS downgrade protection in the email world.
But that has time. I’m already glad if #HTTPS #ECH is supported in (my) curl sometime soon
Да, на #ТСПУ началась блокировка TLS 1.3 соединений использующих ECH (Encrypted Client Hello).
Проверяется легко, если в #Firefox можно через about:config
отключить использование ECH:
network.dns.echconfig.enabled
в false
При этом не обязательно трогать network.dns.http3_echconfig.enabled
А вот пользующиеся #Chrome и #Chromium в полном пролёте — возможность отключения #ECH теперь уже не предусмотрена. Убран и отправлен в небытие старый-добрый:
chrome://flags#encrypted-client-hello
После отключения ECH возвращается работоспособность таких безобидные сайтов как:
Ожидаемо, что по этой причине Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора пошлёт в пешее путешествие всех недовольных с жалобами. Предложив использовать браузеры, позволяющие отключать ECH.
Формально Роскомпозор блокирует лишь одно из расширений TLS 1.3, а не сам протокол. По причине того, что #Cloudflare включил использование #ECH для всех своих клиентов по умолчанию.
А горстка слабохарактерных идиотов, так и не смогла сделать ECH частью протокола TLS 1.3 — история тянется аж с 2018 года.
Уж очень много копий было сломано, пока уходили от 1.2 версии #TLS в сторону 1.3, шествие было очень длинным и напряжённым. И людишкам не хватило воли с характером на включение в 1.3 таких вещей как ECH — в раннем варианте это звалось ESNI и не выглядело зрелым решением.
I just noticed that my #Firefox was sending network traffic either with HTTP/2 + #ECH + #X25519MLKEM768, or with HTTP/3, but without ECH or X25519MLKEM768. Then I dug into about:config
and found the option network.http.http3.enable_kyber
, enabling it fixed the above behavior. HTTP/3 + ECH + X25519MLKEM768 is now used. Maybe check your Firefox behavior to ensure ECH and post-quantum key exchange is used whenever possible. Test site: https://cloudflare-ech.com/cdn-cgi/trace
Looks like Russia is now blocking Cloudflare's Encrypted Client Hello traffic if:
- SNI is cloudflare-ech.com
- TLS ClientHelloOuter contains the "encrypted_client_hello" extension
https://github.com/net4people/bbs/issues/417
Russia officially recommends "owners of information resources disable the TLS ECH extension or, more correctly, use domestic CDN services".
https://cmu.gov.ru/ru/news/2024/11/07/рекомендуем-отказаться-от-cdn-сервиса-cloudflare/
With increased ECH use, I expect certain other actors to follow suit.
Появилась возможность протестировать связку протоколов ECH + QUIC!
Роскомнадзор начал блокировку сайтов с шифрованием ECH (Encrypted Client Hello) от Cloudflare.
Недавно Cloudflare внедрила технологию ECH для всех сайтов на своих серверах — это 24 млн страниц.
-Активное шифрование ECH нарушает российское законодательство, так как имеет возможности обхода ограничений доступа к запрещенной информации в России.
Пользователи в РФ уже начали жаловаться на недоступность тысяч сайтов, использующих ECH.
Роскомнадзор советует владельцам ресурсов отказаться от использования CDN-сервиса CloudFlare и переходить на отечественные CDN-сервисы.
src:
https://portal.noc.gov.ru/ru/news/2024/11/07/%D1%80%D0%B5%D0%BA%D0%BE%D0%BC%D0%B5%D0%BD%D0%B4%D1%83%D0%B5%D0%BC-%D0%BE%D1%82%D0%BA%D0%B0%D0%B7%D0%B0%D1%82%D1%8C%D1%81%D1%8F-%D0%BE%D1%82-cdn-%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D0%B0-cloudflare/
https://habr.com/ru/news/856722/
блокировки сайтов на хетцнере
Seems like blocking #Cloudflare's #ECH was not enough for #Roskomnadzor's clowns.
In addition, I cannot access the following sites I regularly use, even with DPI bypassing software:
I can confirm it's not broken just for me with GlobalCheck (https://globalcheck.net/en/).
What's in common? They are all hosted on #Hetzner.
#Russia already blocked Hetzner, #OVH and #Linode earlier this year for a short period. They do this kind of "testing" from time to time.