Комментарии 19
Причина, похоже, всё же не совсем в этом. Наиболее вероятно то, что цензурирующей системе не нравится что-то в ответе сервера, а не в запросе клиента. Я воспроизвёл проблему на своём сервере (не IP Cloudflare), проксируя запросы к Cloudflare.
Это объясняет, почему с TLS 1.3 нет проблем (у TLS 1.2 и 1.3 ответы прилично различаются), и почему изменение Cipher'ов исправляет проблему (ответ сервера меняется, возможно, просто сравниваются определённые байты на определённых местах).
Тревожный сигнал. На этом фоне радует, что добавление ECH в openssl, кажется, сдвинулось с мёртвой точки.
Подключения с ECH уже полностью режут в Китае, и если я правильно помню, Роскомнадзор чем-то таким тоже баловался. Так что не сильно поможет.
Пока сайты с ECH - исключения, а не правило, возможно. Но надеюсь, что когда технология достигнет повсеместного внедрения, кишка заблокировать 80% интернета кое у кого всё-таки станет тонка.
QUIC вот в России работает. Именно в России на ВК. На сайты которые не в России - упс. Да, срабатывает fallback.
Вот чтобы было если бы fallback'а не было? решили бы блочить все равно?
Теперь, когда уже можно никому не объяснять основания блокировок (это я про ТСПУ), может быть что угодно. Но блокировка протокола HTTPS, из-за которой перестанут работать вполне легитимные сайты - это будет пробитие нового дна.
Самое что интересное:
в теме на ntc указано на каком сайте это поймали. Российская компания (ладно - ИП), намеренно старающаяся соблюдать законы. И все равно задело. Надо будет почитать реакцию аудитории (не очень то технически продвинутой в среднем) там если скажут _на сайте_ откуда были "сетевые проблемы".
сам ntc тоже НЕ открывается напрямую (ДомРу)
у многих мобильных приложений теперь при детекте впн (Adguard и прочие локальные VPN тоже считаются) - плашка про VPN и объяснение почем это ж очень очень плохо. Ну натренируют пользователей еще больше тупо не верить :(.
Осталось только, чтобы сайты его поддерживали, а я вот недавно оооочень долго искал сайт с ECH и нашел только тестовые варианты.
О, я в телевизоре))
З.Ы. Вообще печально конечно это все. По сути сутки приложение в РФ без vpn не работало (и старые версии до сих пор так и не работают, благо обновление в сторы быстро пропустили).
При том что аудитория у нас полностью русскоязычная только.
З.З.Ы. @ValdikSS спасибо конечно большое. Сами бы долго разбирались в чем причина.
Причина, похоже, всё же не совсем в этом. Наиболее вероятно то, что цензурирующей системе не нравится что-то в ответе сервера, а не в запросе клиента. Я воспроизвёл проблему на своём сервере (не IP Cloudflare), проксируя запросы к Cloudflare.
Это объясняет, почему с TLS 1.3 нет проблем (у TLS 1.2 и 1.3 ответы прилично различаются), и почему изменение Cipher'ов исправляет проблему (ответ сервера меняется, возможно, просто сравниваются определённые байты на определённых местах).
Хм, интересно что, конечно. Чую не последний раз что то такое происходит. В любом случае в следующей версии всё на 1.3 переведу. В тему на форуме еще постараюсь отписаться с дампом, кажется к другому серверу с сертификатом от let's encrypt и с измененными cipher'ами продолжает блочить.
Upd. А хотя, нет смысла выкладывать, если это именно в ответах сервера что то не нравится им. Их мы ведь не увидим в данном случае (доступа к серверу у меня нет).
А чем прикол делать такую блокировку? В мобилках она работает, потому что клиент выбирает указанный шифр как более оптимальный для слабых устройств.По идее можно его попробовать вообще на клиенте отключить.
Отвалились впн.....следим за ситуацией
Роскомнадзор, вероятно, начал блокировать подключения к Cloudflare по TLS fingerprint