Комментарии 19
Причина, похоже, всё же не совсем в этом. Наиболее вероятно то, что цензурирующей системе не нравится что-то в ответе сервера, а не в запросе клиента. Я воспроизвёл проблему на своём сервере (не IP Cloudflare), проксируя запросы к Cloudflare.
Это объясняет, почему с TLS 1.3 нет проблем (у TLS 1.2 и 1.3 ответы прилично различаются), и почему изменение Cipher'ов исправляет проблему (ответ сервера меняется, возможно, просто сравниваются определённые байты на определённых местах).
Тревожный сигнал. На этом фоне радует, что добавление ECH в openssl, кажется, сдвинулось с мёртвой точки.
Подключения с ECH уже полностью режут в Китае, и если я правильно помню, Роскомнадзор чем-то таким тоже баловался. Так что не сильно поможет.
Пока сайты с ECH - исключения, а не правило, возможно. Но надеюсь, что когда технология достигнет повсеместного внедрения, кишка заблокировать 80% интернета кое у кого всё-таки станет тонка.
QUIC вот в России работает. Именно в России на ВК. На сайты которые не в России - упс. Да, срабатывает fallback.
Вот чтобы было если бы fallback'а не было? решили бы блочить все равно?
Теперь, когда уже можно никому не объяснять основания блокировок (это я про ТСПУ), может быть что угодно. Но блокировка протокола HTTPS, из-за которой перестанут работать вполне легитимные сайты - это будет пробитие нового дна.
Самое что интересное:
в теме на ntc указано на каком сайте это поймали. Российская компания (ладно - ИП), намеренно старающаяся соблюдать законы. И все равно задело. Надо будет почитать реакцию аудитории (не очень то технически продвинутой в среднем) там если скажут _на сайте_ откуда были "сетевые проблемы".
сам ntc тоже НЕ открывается напрямую (ДомРу)
у многих мобильных приложений теперь при детекте впн (Adguard и прочие локальные VPN тоже считаются) - плашка про VPN и объяснение почем это ж очень очень плохо. Ну натренируют пользователей еще больше тупо не верить :(.
Осталось только, чтобы сайты его поддерживали, а я вот недавно оооочень долго искал сайт с ECH и нашел только тестовые варианты.
О, я в телевизоре))
З.Ы. Вообще печально конечно это все. По сути сутки приложение в РФ без vpn не работало (и старые версии до сих пор так и не работают, благо обновление в сторы быстро пропустили).
При том что аудитория у нас полностью русскоязычная только.
З.З.Ы. @ValdikSS спасибо конечно большое. Сами бы долго разбирались в чем причина.
Причина, похоже, всё же не совсем в этом. Наиболее вероятно то, что цензурирующей системе не нравится что-то в ответе сервера, а не в запросе клиента. Я воспроизвёл проблему на своём сервере (не IP Cloudflare), проксируя запросы к Cloudflare.
Это объясняет, почему с TLS 1.3 нет проблем (у TLS 1.2 и 1.3 ответы прилично различаются), и почему изменение Cipher'ов исправляет проблему (ответ сервера меняется, возможно, просто сравниваются определённые байты на определённых местах).
Хм, интересно что, конечно. Чую не последний раз что то такое происходит. В любом случае в следующей версии всё на 1.3 переведу. В тему на форуме еще постараюсь отписаться с дампом, кажется к другому серверу с сертификатом от let's encrypt и с измененными cipher'ами продолжает блочить.
Upd. А хотя, нет смысла выкладывать, если это именно в ответах сервера что то не нравится им. Их мы ведь не увидим в данном случае (доступа к серверу у меня нет).
А чем прикол делать такую блокировку? В мобилках она работает, потому что клиент выбирает указанный шифр как более оптимальный для слабых устройств.По идее можно его попробовать вообще на клиенте отключить.
Скорее всего целились в фингерпринт какого-то определенного приложения. Например, в Китае и Иране блокируют фингерпринт TLS-библиотеки языка Go, потому что на нём написаны популярные прокси-клиенты.
Что именно пытались заблокировать тут пока не понятно, возможно просто руки из жопы.
А что, если гугл или разработчики популярных ssl-библиотек сделают "перемешивание" списка шифров при каждой установке соединения?
Отвалились впн.....следим за ситуацией
Роскомнадзор, вероятно, начал блокировать подключения к Cloudflare по TLS fingerprint