Включения network.security.esni.enabled=true в about:config недостаточно для активации в Firefox TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.На данным момент ESNI не работает без использования встроенного в Firefox резолвера "DNS over HTTPS" (network.trr.mode = 2). Использовать ESNI
[[https://bugzilla.mozilla.org/show_bug.cgi?id=1500289 пока можно]] только при активации "DNS over HTTPS".
Для включения "DNS over HTTPS" в about:config следует изменить значение переменной network.trr.mode. Значение 0 полностью отключает DoH;
1 - используется DNS или DoH, в зависимости от того, что быстрее;
2 - используется DoH по умолчанию, а DNS как запасной вариант;
3 - используется только DoH;
4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно [[https://github.com/curl/curl/wiki/DNS-over-HTTPS установить]]:
* https://dns.google.com/experimental
* https://cloudflare-dns.com/dns-query
* https://dns.quad9.net/dns-query (он же https://9.9.9.9/dns-query)
* https://doh.powerdns.org
* https://doh.cleanbrowsing.org/doh/family-filter/ (с родительским контролем)
* https://doh2.dnswarden.com (с родительским контролем)
* https://dns.dnsoverhttps.net/dns-query (проброс запросов через tor)
* https://doh.securedns.eu/dns-query (заявлено об отсутствии ведения логов)
* https://doh.crypto.sx/dns-query (на базе [[https://github.com/jedisct1/rust-doh doh-proxy]])
* https://doh-de.blahdns.com/dns-query (используется [[https://github.com/m13253/dns-over-https реализация]] на Go)
* https://dns.dns-over-https.com/dns-query (используется [[https://github.com/m13253/dns-over-https реализация]] на Go)
* https://commons.host (реализация на [[https://github.com/qoelet/playdoh Node.js]])URL: https://bugzilla.mozilla.org/show_bug.cgi?id=1500289
Обсуждается: https://www.opennet.ru/tips/info/3086.shtml
За состоянием поддержки ESNI в Chrome можно смотреть здесь:// b.
Да работает ли оно реально-то?
У меня включен esni и doh - https://www.cloudflare.com/ssl/encrypted-sni/ все равно говорит что esni не включен.
restart the browser// b.
Аж сотню раз уже. И ничего.
В официальном Firefox 64.0.2: https://imgur.com/a/GBhczFL
У Вас что установлено в network.trr.uri? Нужно https://cloudflare-dns.com/dns-query - тогда esni покажет. А так он не понимает.
То что по умолчанию - https://mozilla.cloudflare-dns.com/dns-query
Работает - https://i.imgur.com/kfb8ll4.png
В network.security.esni.enabled поставить true
+ вкл. это - https://i.imgur.com/aYDdCVK.png
Даже выходить из браузера не надо.
> restart the browser
> // b.Честно говоря дичь какая-то. У меня если network.trr.mode поставить в 3 (только DOH) тупо не резолвиться вообще ничего. Возможно в Ночнушке все опять нахрен сломали, лол.
АХ ВОТ ОНО ЧТо - https://isitblockedinrussia.com/?host=mozilla.cloudflare-dns...Decision 2-946/13 made on 2013-06-10 by суд.
This block affects IP 104.16.248.249 and domain ineedusersmore.net.
Я и забыл что живу в Смехдержаве. IP заблокирован давно протухшим решением суда, а всем до лампочки...
Попробуйте подставить в network.trr.bootstrapAddress значение 1.1.1.1
> Попробуйте подставить в network.trr.bootstrapAddress значение 1.1.1.1А вот теперь заработало, спасибо.
Взяли и добавили второй IP 104.16.249.249 задним числом...
> На данным момент ESNI не работает без использования встроенного в Firefoxрезолвера "DNS over HTTPS"
Какой идиотизм, б-же. ESNI ок, но зачем мне чёртов DOH?
> Какой идиотизм,Да, этого у тебя не отнять. Что есть, то есть.
> ESNI ок, но зачем мне чёртов DOH?
А зачем тебе eSNI без DoH?
А тут ты такой выбегаешь и не задумываясь, как обычно, говоришь: "А у меня есть DoT!".
>> ESNI ок, но зачем мне чёртов DOH?
> А зачем тебе eSNI без DoH?А тебе какое дело, умник? Объясни лучше, зачем мне DOH.
> А тут ты такой выбегаешь и не задумываясь, как обычно, говоришь: "А
> у меня есть DoT!".DOT решает ту же проблему, что и DOH, да. При этом, это гораздо менее уродливое и костыльное решение. Но ты энивэй не угадал - я шифрую DNS запросы с тех пор, когда это ещё не было мэйнстримом - у меня TorDNS и локальный резолвер. Жрите сами свой DOH, школота...
> Объясни лучше, зачем мне DOH.
> ...
> DOT решает ту же проблему, что и DOH, да. При этом, это гораздо менее уродливое и костыльное решение.Включи уже наконец в работу свой межушный гaнглий.
Нет ничего проще, чем перекрыть DoT. А вот с DoH это сделать уже сложнее.
> у меня TorDNS и локальный резолвер. Жрите сами свой DOH, школoтa...
Вот это тебя и характеризует как типичное параноидальное шкoлoло.
У меня дома DoT на unbound-е построен, но я ещё и через 4G/LTE с андроидного смартфона иногда в тырнеты хожу.
Вот для этого мне и нужен DoH, на тот случай, когда апстрим провайдер перекроет DoT.
> Включи уже наконец в работу свой межушный гaнглий.Не хами.
> Нет ничего проще, чем перекрыть DoT.
1) Я не использую DoT.
2) Блокировать DNS можно и без DoT, но никто этого не делает. Зачем, если можно блочить сами сайты? Что DoT, что DoH пытается решить только одну проблему: гарантировать, что DNS-сервер вернул там то, что мы хотели узнать. Всё.> А вот с DoH это сделать уже сложнее.
Рассказать тебе, как забанить DoH? Берёшь и режешь все запросы по https к серверам из ОП-поста. Что? Анинаэто не пойдут? Ну-ну, вспомни ковровые блокировки, когда телеграм начали банить.
Ооооочень сложно, просто рокет сайенс, ага.> Вот это тебя и характеризует как типичное параноидальное шкoлoло.
Это меня характеризует как человека, который использует полноценные решения, вместо г-на для смузихлёбов.
> У меня дома DoT на unbound-е построен, но я ещё и через 4G/LTE с андроидного смартфона иногда в тырнеты хожу.
> Вот для этого мне и нужен DoH, на тот случай, когда апстрим провайдер перекроет DoT.Судя по тому, что ты написал и по хамскому стилю твоих сообщений, DoH тебе нужен, чтобы на форумах хвалиться и самоутверждаться. Диджитол резистансе, да?
> 2) Блокировать DNS можно и без DoT, но никто этого не делает.Попытки провайдеров перенаправлять запросы на собственный DNS ранее уже были замечены.
И да, всё когда-нибудь происходит в первый раз. Если этого не делали раньше, то это не значит, что этого не будут делать в будущем. (Ваш Кэп)> Зачем, если можно блочить сами сайты?
В моей стране так и поступают. Но попытки перенапрявлять трафик DNS тоже предпринимались.
> Что DoT, что DoH пытается решить только одну проблему: гарантировать, что DNS-сервер вернул там то, что мы хотели узнать. Всё.
Нет, конечно. Ты, видимо, путаешь их с DNSSEC. А это разные вещи, вообще-то.
Это, кстати, наглядно демонстрирует что ты вообще не очень-то "в теме".>> А вот с DoH это сделать уже сложнее.
> Рассказать тебе, как забанить DoH? Берёшь и режешь все запросы по https к серверам из ОП-поста.Будут появляться DoH-сервера на других адресах.
А вот перекрыть весь DoT - проще простого - достаточно перекрыть весь 853 порт. В этом случае тоже можно выкрутиться, но уже сложнее.> Что? Анинаэто не пойдут? Ну-ну, вспомни ковровые
> блокировки, когда телеграм начали банитьВ моей стране, слава Богу, до такого маразма дело не доходило.
> Ооооочень сложно, просто рокет сайенс, ага.
Да уж сложнее, чем перекрыть весь DoT. Придётся отслеживать все DoH-сервера интернета, что может оказаться не такой уж и простой задачей.
>> Вот это тебя и характеризует как типичное параноидальное шкoлoло.
> Это меня характеризует как человека, который использует полноценные решения, вместо г-на для смузихлёбов.А я думал, что ты и есть смузихлёб. Только чуть более раннего поколения.
Вот это твоё слово - "энивей", как бы намекает. Типично для смузихлёбов - понтоваться своим рунглишем.>> Вот для этого мне и нужен DoH, на тот случай, когда апстрим провайдер перекроет DoT.
> Судя по тому, что ты написал и по хамскому стилю твоих сообщений,Да меня ваша каста бестолковых "ненужнистов" уже подзаколебала.
ИЧСХ, "ненужнисты", обычно, толком не разбираются в теме. Ты - не исключение.
Я уже думаю, что "не нужно" - это ваше ментальное. "Скрепность" находит свой выход таким странным способом.> DoH тебе нужен, чтобы на форумах хвалиться и самоутверждаться. Диджитол резистансе, да?
Да ну. Таким "детсадом" мне не самоутвердится. Да и не нужно мне это уже давно, ибо до подлинника совсем недалече.
А про какой-то "Диджитол резистансе" я вообще первый раз слышу.
Кстати, "диджитОл" вместо "диджитАл" - это тоже признак ранних поколений смузихлёбов.P.S. TOR вам, наверное, тоже перекроют, чуть позже.
> В моей стране так и поступают.
> В моей стране, слава Богу, до такого маразма дело не доходило.Зачем ты тогда вообще напрягаешься?
>>> Что DoT, что DoH пытается решить только одну проблему: гарантировать, что DNS-сервер вернул там то, что мы хотели узнать. Всё.
> Нет, конечно. Ты, видимо, путаешь их с DNSSEC. А это разные вещи, вообще-то.Ну давай, расскажи мне, в чём тогда смысл защиты от атак типа MITM. Разница с DNSSEC понятна, и что?
Нет, я понимаю, что есть альтернативно одарённые, которые думают, что цель DoT - шифровать DNS-запросы, просто ради шифрования (и пофигу, что DNS-провайдер всё равно сможет сопоставить ваш запрос и ip, ага).> Это, кстати, наглядно демонстрирует что ты вообще не очень-то "в теме".
Окей, окей, окей. Я - ламо, ты - крутой какир. Ты доволен?
> Будут появляться DoH-сервера на других адресах.
> А вот перекрыть весь DoT - проще простого - достаточно перекрыть весь 853 порт. В этом случае тоже можно выкрутиться, но уже сложнее.Прости - но написанное тобой - ахинея. Почему бы тогда просто не банить обычные DNS-порты?
Это такой же терроризм, как то что ты предлагаешь с 853 портом. В то время как точечно банить сервера по списку - это то, что и РКН и примерно все на свете уже давно умеют делать и это почти безболезненно (кто смог нагнуть амазон, тот и cloudflare сможет).> Да уж сложнее, чем перекрыть весь DoT. Придётся отслеживать все DoH-сервера интернета, что может оказаться не такой уж и простой задачей.
Все - не нужно. Достаточно популярные. Абсолютных блокировок не бывает, и те, кто их организовывают - это понимают.
> А я думал, что ты и есть смузихлёб. Только чуть более раннего поколения.
> Вот это твоё слово - "энивей", как бы намекает. Типично для смузихлёбов - понтоваться своим рунглишем.А ты не думай. Это явно не твой конёк.
> Да меня ваша каста бестолковых "ненужнистов" уже подзаколебала.
Ну так приумолкни уже, и свали. Я не напрашивался на беседу с тобой.
> ИЧСХ, "ненужнисты", обычно, толком не разбираются в теме. Ты - не исключение.
Не позорься.
> Я уже думаю, что "не нужно" - это ваше ментальное. "Скрепность" находит свой выход таким странным способом.
Это, конечно же, конструктив и не самоутверждение. Так и запишем.
> Да ну. Таким "детсадом" мне не самоутвердится.
Тут я с тобой согласен! Ну так замолкни уже!
> Кстати, "диджитОл" вместо "диджитАл" - это тоже признак ранних поколений смузихлёбов.
facepalm.jpg
> P.S. TOR вам, наверное, тоже перекроют, чуть позже.
Ну всё, ты меня уделал окончательно! Пойду делать вдоль. А ты, наверное, очень рад от того, что скоро нам TOR перекроют? Пришёл сюда позлорадствовать, да?)) После того, как ты оподливился с DOH это вполне закономерно. Пиши в след
> Ну всё, ты меня уделал окончательно!А разве нет? С середины поста ты показываешь неспособность ответить аргументированно.
> Зачем ты тогда вообще напрягаешься?Так в моей стране тоже пытаются "регулировать интернет". Просто не так по-идиотски, как в вашей.
> Нет, я понимаю, что есть альтернативно одарённые, которые думают, что цель DoT - шифровать DNS-запросы, просто ради шифрования (и пофигу, что DNS-провайдер всё равно сможет сопоставить ваш запрос и ip, ага).
"Currently, DoT and DNSSEC are complementary: they serve two different purposes (privacy and origin authenticity respectively),..."
...
"The trust model provided by the TLS is quite different. With TLS, the remote end is authenticated, but the data received over the transport channel is not".И это пишет Willem Toorop из NLnet Labs (сам нагуглишь).
(в этом месте ты должен почувствовать себя полным идиотом).А у тебя в голове, похоже, вообще какая-то каша. Ты путаешь аутентичность/целостность данных с их приватностью.
> Прости - но написанное тобой - ахинея. Почему бы тогда просто не банить обычные DNS-порты?
Вроде бы не нужно быть особо умным чтобы это понять. Но тебе, очевидно, даже это не удаётся.
Не "банить", а закрывать 853 порт, чтобы согнать всех пользователей на обычный clear text DNS, за которым без особых сложностей можно следить.
Пойми наконец, картонная твоя голова, "не пущать" это что-то одно, а "следить" это что-то другое.
И да, закрытый на выход 853 порт даже и не заметят ~98%(условно) ваших пользователей.> Это такой же терроризм, как то что ты предлагаешь с 853 портом.
Какой ещё "терроризм"? Ты в детстве сильно головой ударился, что ли?
Ты же сам недавно писал вот это: "Анинаэто не пойдут? Ну-ну, вспомни ковровые блокировки, когда телеграм начали банить".Перекроют и глазом не моргнут. Это лишь вопрос времени. Просто DoT пока не получил достаточно широкого распространения, чтобы привлечь их внимание.
> Все - не нужно. Достаточно популярные. Абсолютных блокировок не бывает, и те, кто их организовывают - это понимают.
Когда начнут блокировать, новые будут появляется как грибы после дождя.
> А ты не думай. Это явно не твой конёк.
Очевидно, что ты мне даёшь совет к которому постоянно прибегаешь сам.
Проецируешь на меня то, что видишь в себе сам.> А ты, наверное, очень рад от того, что скоро нам TOR перекроют?
Так вы же сами на это напрашиваетесь, даже не осознавая этого.
Они лишь выполняют ваши неосознанные желания, вот это ваше "оно нам не нужно".
Они просто действуют слишком грубо, и хватают больше, чем (неосознанно) от них ожидалось. От этого у вас возникает лютый баттхёрт.> После того, как ты оподливился с DOH это вполне закономерно.
Где я "оподливился"?
Ты же вообще даже толком не понимаешь о чём идёт речь. И это уже просто-таки очевидно.> Ну так приумолкни уже, и свали.
> ...
> Ну так замолкни уже!Ого, как у тебя пригорает! Воспользуйся огнетушителем, а то останешься без зада.
А ты кто вообще здесь такой, чтобы мне что-то указывать?
P.S. У тебя даже терминология смузихлёбская.
>> На данным момент ESNI не работает без использования встроенного в Firefox
> резолвера "DNS over HTTPS"
> Какой идиотизм, б-же. ESNI ок, но зачем мне чёртов DOH?Из того что обсуждалось на эту тему в Багзилле - решение скорее "политическое" чем техническое. Мозилла считает, что без DOH фича не будет достаточно эффективной.
Действительно!
И этот их сайт https://www.cloudflare.com/ssl/encrypted-sni полная профанация
Ведь Firefox не выполняет проверку DNSSEC - для него это просто мусор, а все аддоны, которые этим занимались, "как" по указке все разом стали вдруг несовместимыми с новыми релизами...
То есть проверку типа сделали за нас, и просто вывели зелёную галочку? Как удобно!
Тогда уж лучше https://9.9.9.10/dns-query использовать, чтобы не было иллюзий безопасности...
Это уже не говоря об security.tls.enable_0rtt_data и прочих "улучшениях" во благо народа!
Сбасибо Cloudflare что заботишься о нас!
Специализд, DNSSEC не для браузера, и проверять он ничего не должен. Господи жги.
Проверять должен резольвер. Но в случае DoH резольвером является сам браузер.
У меня в андроидной версии Firefox-а DoH и eSNI уже месяца с полтора-два работает. Причём используется опция "3" (DoH only).
отличная заметка, спасибо!
После восстановления системы (Manjaro Linux) из Hibernate, открытая сессия Firefox не может резолвить в режиме network.trr.mode=3 (only DoH). После перезагрузки Firefox всё работает. Почему? Как исправить, чтобы не перезапускать Firefox?
https://dns.adguard.com/dns-queryДа и вообще хорошее дополнение: https://kb.adguard.com/ru/general/dns-providers
не работает, linkedin.com не открывается. тест клаудфлэра показывает все галки, но толку от этого немного. в том числе с trr.mode 3
И действительно. Зачем оно все это нужно, если не зайти на заблокированные сайты?
> не работает, linkedin.com не открывается. тест клаудфлэра показывает все галки, но толку
> от этого немного. в том числе с trr.mode 3так как все-таки заходить на запрещенные сайты?
>> не работает, linkedin.com не открывается. тест клаудфлэра показывает все галки, но толку
>> от этого немного. в том числе с trr.mode 3
> так как все-таки заходить на запрещенные сайты?Толку конечно мало от этого, потому как маршрутизация трафика идет исключительно по IP адресу. DNS же позволяет узнать IP адрес той конечно точки (сайт) которую мы запрашиваем.
Зная это, теперь мы можем поискать что-то, что позволит нам изменить маршрутизацию таким образм, чтобы блокираторы не увидели наш запрос конечной точки. Для решения этой проблемы существует одно из решений - это использовать VPN. Успехов.
Надо писать именно https://www.linkedin.com/
или установить дополнение в браузер типа HTTPS-EverywhereИначе, по умолчанию, linkedin.com интерпретируется как http://linkedin.com и у меня выдаёт запрет доступа от РосТелеком.
Кстати, есть ли скрытые флаги в FireFox/Chrome , которые заставляют браузер по умолчанию интерпретировать любые адреса в адресной строке как https://... ?