https://ns.opennet.dev/openforum/vsluhforumID3/115375.html Компания Cloudflare сообщила (https://blog.cloudflare.com/esni/) о реализации (https://blog.cloudflare.com/encrypted-sni/) в своей сети доставки контента поддержки TLS-расширения ESNI (https://datatracker.ietf.org/doc/draft-ietf-tls-esni/?include_text=1) (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения. <br><br><br>До сих пор для организации работы на одном IP-адресе нескольких HTTPS-сайтов применялось расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера или владельца точки беспроводного доступа выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет (https://www.eff.org/deeplinks/2018/09/esni-privacy-protecting-upgrade-https) добиться полной конфиденциальности при применении HTTPS. <br><br><br><br>ESNI устраняет этот недостаток и полностью исключа https://ns.opennet.dev/openforum/vsluhforumID3/115375.html#117 Sat, 29 Sep 2018 21:33:21 GMT DNSSEC не шифрует, только аутентифицирует.<br> https://ns.opennet.dev/openforum/vsluhforumID3/115375.html#116 Fri, 28 Sep 2018 19:45:23 GMT Та же проблема у домашнего Киевстара (украинский провайдер), при чём независимо от города и области предоставления услуги, но только у FTTB (т.е. на ADSL, как ни странно, всё хорошо).<br> https://ns.opennet.dev/openforum/vsluhforumID3/115375.html#115 Fri, 28 Sep 2018 10:15:05 GMT У кого-нить получилось подключиться к https://www.cloudflare.com/ssl/encrypted-sni/ и пройти положительно тест с ESNI?<br>Последняя ночнушка мозилы, TLS 1.3 и ESNI в about:config включены, DNS сервер работает с DNSSEC.<br>Первый тест желтый, второй и третий зелёные, четвёртый красный ((<br> https://ns.opennet.dev/openforum/vsluhforumID3/115375.html#114 Thu, 27 Sep 2018 18:21:34 GMT &gt; Так еще Карамзин все сказал...<br><br>Интересно, что он как тогдашний либерал сказал бы о нынешних либералах.<br> https://ns.opennet.dev/openforum/vsluhforumID3/115375.html#113 Thu, 27 Sep 2018 18:18:38 GMT &gt; Я правильно понимаю, что блокировать рекламу на домашнем микротике в таком случае <br>&gt; станет крайне затруднительно?<br><br>Блокировать ее в браузере не в пример результативнее. По великому множеству причин, но для этого надо немного понимать как работает веб.<br> https://ns.opennet.dev/openforum/vsluhforumID3/115375.html#112 Thu, 27 Sep 2018 18:16:46 GMT &gt; Оказывается, т-щ майор-то приторговывает налево<br><br>Так еще Карамзин все сказал... только в данном случае - оно еще и с последствиями, когда желающий вас натянуть может предварительно собрать досье круче Пинкертона с маргинальными затратами денег и сил.<br> https://ns.opennet.dev/openforum/vsluhforumID3/115375.html#111 Thu, 27 Sep 2018 15:17:12 GMT В даркнете нет IP адресации.<br> https://ns.opennet.dev/openforum/vsluhforumID3/115375.html#110 Thu, 27 Sep 2018 04:02:50 GMT Вы себе наверно не можете представить такого, но есть на просторах нашей родины такие места, где до сих пор только adsl доступ не выше 8 мегабит за овердофигарублей. И вот там заглядывание в установленные соединения помогает экономить реальные рубли и мегабайты. Потому что вместо утекших 10-20Мб в невнятное tcp/tunnel 200 сразу видим - так, это вот целевой сайт, это его картинки - они у нас в кеше, а вот эта cdn и эти ad.&lt;бла-бла-бла&gt; - это реклама, и режем ее нафиг сразу, и вместо 20 метров мусора за сеанс получаем 2-3 мегабайта полезной нагрузки.<br>Хакерство, конечно... Больше думать не о чем.<br> https://ns.opennet.dev/openforum/vsluhforumID3/115375.html#109 Thu, 27 Sep 2018 02:16:35 GMT У вас паранойя, вам за каждым кустом майор мерещится. Во многих конторах squid на вполне законных основаниях крутится, ssl-bump нужен, чтобы редиректы deny_info на прокси нормально отрабатывали. Куда вы ходите и на что онанируете по большому счету там никому не интересно...<br>