The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Включение ESNI и DNS over HTTPS в Firefox
Включения network.security.esni.enabled=true в about:config недостаточно для
активации в Firefox  TLS-расширения ESNI (Encrypted Server Name Indication),
обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.

На данным момент ESNI не работает без использования встроенного в Firefox
резолвера "DNS over HTTPS" (network.trr.mode = 2). Использовать ESNI
пока можно только при активации "DNS over HTTPS".


Для включения "DNS over HTTPS" в about:config следует изменить значение
переменной network.trr.mode. Значение 0 полностью отключает DoH;
1 - используется DNS или DoH, в зависимости от того, что быстрее; 
2 - используется DoH по умолчанию, а DNS как запасной вариант; 
3 - используется только DoH; 
4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. 

По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через
параметр network.trr.uri, например, можно установить:

* https://dns.google.com/experimental 
* https://cloudflare-dns.com/dns-query 
* https://dns.quad9.net/dns-query (он же https://9.9.9.9/dns-query)
* https://doh.powerdns.org
* https://doh.cleanbrowsing.org/doh/family-filter/ (с родительским контролем)
* https://doh2.dnswarden.com (с родительским контролем)
* https://dns.dnsoverhttps.net/dns-query (проброс запросов через tor)
* https://doh.securedns.eu/dns-query (заявлено об отсутствии ведения логов)
* https://doh.crypto.sx/dns-query (на базе doh-proxy)
* https://doh-de.blahdns.com/dns-query (используется реализация на Go)
* https://dns.dns-over-https.com/dns-query (используется реализация на Go)
* https://commons.host (реализация на Node.js)
 
25.01.2019 , Источник: https://bugzilla.mozilla.org/show_b...
Ключи: esni, doh, dns, https / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Аноним (1), 17:43, 27/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    За состоянием поддержки ESNI в Chrome можно смотреть здесь:

    https://crbug.com/908132

    // b.

     
  • 1.2, Kuromi (ok), 21:41, 27/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да работает ли оно реально-то?
    У меня включен esni и doh - https://www.cloudflare.com/ssl/encrypted-sni/ все равно говорит что esni не включен.
     
     
  • 2.3, Аноним (3), 21:52, 27/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    restart the browser

    // b.

     
     
  • 3.4, Kuromi (ok), 22:06, 27/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Аж сотню раз уже. И ничего.
     
     
  • 4.6, Аноним (3), 02:34, 28/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В официальном Firefox 64.0.2: https://imgur.com/a/GBhczFL
     
  • 4.9, Онанимус (?), 12:03, 28/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У Вас что установлено в network.trr.uri? Нужно https://cloudflare-dns.com/dns-query - тогда esni покажет. А так он не понимает.
     
     
  • 5.13, Kuromi (ok), 02:43, 29/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    То что по умолчанию - https://mozilla.cloudflare-dns.com/dns-query
     
  • 4.10, AnonESNI (?), 12:16, 28/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Работает - https://i.imgur.com/kfb8ll4.png
    В network.security.esni.enabled поставить true
    + вкл. это - https://i.imgur.com/aYDdCVK.png
    Даже выходить из браузера не надо.
     
  • 3.15, Kuromi (ok), 02:52, 29/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > restart the browser
    > // b.

    Честно говоря дичь какая-то. У меня если network.trr.mode поставить в 3 (только DOH) тупо не резолвиться вообще ничего. Возможно в Ночнушке все опять нахрен сломали, лол.


    АХ ВОТ ОНО ЧТо - https://isitblockedinrussia.com/?host=mozilla.cloudflare-dns.com

    Decision 2-946/13 made on 2013-06-10 by суд.

    This block affects IP 104.16.248.249 and domain ineedusersmore.net.

    Я и забыл что живу в Смехдержаве. IP заблокирован давно протухшим решением суда, а всем до лампочки...

     
     
  • 4.16, Аноним (-), 14:43, 29/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Попробуйте подставить в network.trr.bootstrapAddress значение 1.1.1.1
     
     
  • 5.19, Kuromi (ok), 17:44, 29/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Попробуйте подставить в network.trr.bootstrapAddress значение 1.1.1.1

    А вот теперь заработало, спасибо.

     
  • 4.30, Аноним (-), 17:31, 30/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Взяли и добавили второй IP 104.16.249.249 задним числом...
     

  • 1.5, Onanon (?), 23:47, 27/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > На данным момент ESNI не работает без использования встроенного в Firefox

    резолвера "DNS over HTTPS"

    Какой идиотизм, б-же. ESNI ок, но зачем мне чёртов DOH?

     
     
  • 2.8, Anonymous_ (?), 07:13, 28/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Какой идиотизм,

    Да, этого у тебя не отнять. Что есть, то есть.

    > ESNI ок, но зачем мне чёртов DOH?

    А зачем тебе eSNI без DoH?

    А тут ты такой выбегаешь и не задумываясь, как обычно, говоришь: "А у меня есть DoT!".

     
     
  • 3.12, Onanon (?), 18:53, 28/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> ESNI ок, но зачем мне чёртов DOH?
    > А зачем тебе eSNI без DoH?

    А тебе какое дело, умник? Объясни лучше, зачем мне DOH.

    > А тут ты такой выбегаешь и не задумываясь, как обычно, говоришь: "А
    > у меня есть DoT!".

    DOT решает ту же проблему, что и DOH, да. При этом, это гораздо менее уродливое и костыльное решение. Но ты энивэй не угадал - я шифрую DNS запросы с тех пор, когда это ещё не было мэйнстримом - у меня TorDNS и локальный резолвер. Жрите сами свой DOH, школота...

     
     
  • 4.20, Anonymous_ (?), 05:32, 30/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Объясни лучше, зачем мне DOH.
    > ...
    > DOT решает ту же проблему, что и DOH, да. При этом, это гораздо менее уродливое и костыльное решение.

    Включи уже наконец в работу свой межушный гaнглий.

    Нет ничего проще, чем перекрыть DoT. А вот с DoH это сделать уже сложнее.

    > у меня TorDNS и локальный резолвер. Жрите сами свой DOH, школoтa...

    Вот это тебя и характеризует как типичное параноидальное шкoлoло.

    У меня дома DoT на unbound-е построен, но я ещё и через 4G/LTE с андроидного смартфона иногда в тырнеты хожу.
    Вот для этого мне и нужен DoH, на тот случай, когда апстрим провайдер перекроет DoT.

     
     
  • 5.21, Onanon (?), 18:19, 30/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Включи уже наконец в работу свой межушный гaнглий.

    Не хами.

    > Нет ничего проще, чем перекрыть DoT.

    1) Я не использую DoT.
    2) Блокировать DNS можно и без DoT, но никто этого не делает. Зачем, если можно блочить сами сайты? Что DoT, что DoH пытается решить только одну проблему: гарантировать, что DNS-сервер вернул там то, что мы хотели узнать. Всё.

    > А вот с DoH это сделать уже сложнее.

    Рассказать тебе, как забанить DoH? Берёшь и режешь все запросы по https к серверам из ОП-поста. Что? Анинаэто не пойдут? Ну-ну, вспомни ковровые блокировки, когда телеграм начали банить.
    Ооооочень сложно, просто рокет сайенс, ага.

    > Вот это тебя и характеризует как типичное параноидальное шкoлoло.

    Это меня характеризует как человека, который использует полноценные решения, вместо г-на для смузихлёбов.

    > У меня дома DoT на unbound-е построен, но я ещё и через 4G/LTE с андроидного смартфона иногда в тырнеты хожу.
    > Вот для этого мне и нужен DoH, на тот случай, когда апстрим провайдер перекроет DoT.

    Судя по тому, что ты написал и по хамскому стилю твоих сообщений, DoH тебе нужен, чтобы на форумах хвалиться и самоутверждаться. Диджитол резистансе, да?

     
     
  • 6.22, Anonymous_ (?), 21:02, 30/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Попытки провайдеров перенаправлять запросы на собственный DNS ранее уже были зам... большой текст свёрнут, показать
     
     
  • 7.23, Onanon (?), 21:29, 30/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем ты тогда вообще напрягаешься Ну давай, расскажи мне, в чём тогда смысл за... большой текст свёрнут, показать
     
     
  • 8.24, Аноним (24), 09:22, 31/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А разве нет С середины поста ты показываешь неспособность ответить аргументиров... текст свёрнут, показать
     
  • 8.25, Anonymous_ (?), 17:50, 31/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так в моей стране тоже пытаются регулировать интернет Просто не так по-идиотс... большой текст свёрнут, показать
     
  • 2.14, Kuromi (ok), 02:45, 29/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> На данным момент ESNI не работает без использования встроенного в Firefox
    > резолвера "DNS over HTTPS"
    > Какой идиотизм, б-же. ESNI ок, но зачем мне чёртов DOH?

    Из того что обсуждалось на эту тему в Багзилле - решение скорее "политическое" чем техническое. Мозилла считает, что без DOH фича не будет достаточно эффективной.

     
  • 2.17, Аноним (-), 14:52, 29/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно!
    И этот их сайт https://www.cloudflare.com/ssl/encrypted-sni полная профанация
    Ведь Firefox не выполняет проверку DNSSEC - для него это просто мусор, а все аддоны, которые этим занимались, "как" по указке все разом стали вдруг несовместимыми с новыми релизами...
    То есть проверку типа сделали за нас, и просто вывели зелёную галочку? Как удобно!
    Тогда уж лучше https://9.9.9.10/dns-query использовать, чтобы не было иллюзий безопасности...
     
     
  • 3.18, Аноним (-), 14:55, 29/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это уже не говоря об security.tls.enable_0rtt_data и прочих "улучшениях" во благо народа!
    Сбасибо Cloudflare что заботишься о нас!
     
  • 3.27, Аноним (27), 01:14, 03/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Специализд, DNSSEC не для браузера, и проверять он ничего не должен. Господи жги.
     
     
  • 4.28, Аноним (28), 19:35, 05/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Проверять должен резольвер. Но в случае DoH резольвером является сам браузер.
     

  • 1.7, Anonymous_ (?), 07:00, 28/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    У меня в андроидной версии Firefox-а DoH и eSNI уже месяца с полтора-два работает. Причём используется опция "3" (DoH only).
     
  • 1.26, samm (ok), 17:06, 01/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    отличная заметка, спасибо!
     
  • 1.29, microcoder (ok), 09:37, 10/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    После восстановления системы (Manjaro Linux) из Hibernate, открытая сессия Firefox не может резолвить в режиме network.trr.mode=3 (only DoH). После перезагрузки Firefox всё работает. Почему? Как исправить, чтобы не перезапускать Firefox?
     
  • 1.31, Oleg (??), 01:30, 31/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://dns.adguard.com/dns-query

    Да и вообще хорошее дополнение: https://kb.adguard.com/ru/general/dns-providers

     
  • 1.32, null (??), 14:48, 02/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не работает, linkedin.com не открывается. тест клаудфлэра показывает все галки, но толку от этого немного. в том числе с trr.mode 3
     
     
  • 2.33, Null (??), 15:42, 13/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И действительно. Зачем оно все это нужно, если не зайти на заблокированные сайты?
     
  • 2.34, Null (??), 15:43, 13/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > не работает, linkedin.com не открывается. тест клаудфлэра показывает все галки, но толку
    > от этого немного. в том числе с trr.mode 3

    так как все-таки заходить на запрещенные сайты?

     
     
  • 3.35, microcoder (ok), 19:28, 13/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> не работает, linkedin.com не открывается. тест клаудфлэра показывает все галки, но толку
    >> от этого немного. в том числе с trr.mode 3
    > так как все-таки заходить на запрещенные сайты?

    Толку конечно мало от этого, потому как маршрутизация трафика идет исключительно по IP адресу. DNS же позволяет узнать IP адрес той конечно точки (сайт) которую мы запрашиваем.

    Зная это, теперь мы можем поискать что-то, что позволит нам изменить маршрутизацию таким образм, чтобы блокираторы не увидели наш запрос конечной точки. Для решения этой проблемы существует одно из решений - это использовать VPN. Успехов.

     
  • 2.36, Mikhail Rokhin (?), 03:30, 27/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Надо писать именно https://www.linkedin.com/
    или установить дополнение в браузер типа HTTPS-Everywhere

    Иначе, по умолчанию, linkedin.com интерпретируется как http://linkedin.com и у меня выдаёт запрет доступа от РосТелеком.

    Кстати, есть ли скрытые флаги в FireFox/Chrome , которые заставляют браузер по умолчанию интерпретировать любые адреса в адресной строке как https://... ?

     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру