LINUX.ORG.RU
ФорумTalks

DNSCrypt, DoH, DoT и т.п., ESNI, ECH и т.д VS Server Name Indication и палки в колеса. Расставим точки над Ё?

 ,


1

1

Вот, прочитал-услышал где-то человек, что если адрес начинается не просто на http, а на httpS, то что-то там как-то зашифровано, чтобы посторонние не видели.

Позже человеку кто-то добавляет информации, что это шифрование не для того, чтобы провайдер не знал, какую порнуху кто смотрит. И даже что те, для кого это шифрование предназначалось, не полностью ему доверяют и делают многофакторную аутентификацию при любом подходящем случае. А по поводу порнухи - так можно же глянуть логи DNS, если что, и, при желании, даже посмотреть то же самое.

Линукс тут при том, что для Линукс есть DoH, DoT, DNSCrypt и еще что-то такое, небось, придумали, а еще при том, что у некоторых мнение о Линукс, как о чем-то таком хакерском и скрытном, что хоть гусей весели, фиг кто узнает. Вот тот человек, поинтересовавшись, узнает о шифровании еще и dns-запросов. На этом, как видно по текстам, постам и комментариям, человек успокаивается.

Firefox часто долбит моск «неправильными» сертификатами, а Chromium и производные - нет. С чего бы? Хромиумоидам помогает Server Name Indication. Это такая штука, которая помогает сверить конкретное доменное имя на соответствие сертификату. Доменное имя отсылается на сверку без шифрования. DoH, DoT, DNSCrypt сделаны не для того, чтобы провайдер не знал, какую порнуху кто смотрит. TLS, как выше упомянуто - тоже. Считать ли тогда SNI дыркой в TLS? Ну, решили, всё же, закрыть.

Насколько понимаю, в версии TLS 1.3 есть шифрование Server Name Indication: Encrypted SNI. Не всё и не все это умеют. В Firefox где-то в семидесятых-восьмидесятых версиях это запилили, а позже пообещали ECH, Encrypted Client Hello которое молодежнее. На данный момент одно выпилено, другое не запилено. Кому прям свербит, предлагается версия 78.14.0esr, в которой ESNI еще было. Как в Chromium, не ковырял. По ощущениям - никак.

А как в интернетах? У кого-то есть. Попробовал Firefox 78.14.0esr с включенным ESNI с двумя провайдерами. У одного, большого, не стала грузиться сразу же страница с проверкой ESNI от CloudFlare. У другого, поменьше - работает. Некоторые провайдеры на всякий случай блочат ESNI, если в броузере оно включено, некоторые сайты тупо не грузятся. Причем, как заметил при беглом гуглении, как-то рандомно по шарику. В РФ ситуация среднемировая: РКН блочить ESNI не велел, но Телеком заблочил, от греха.

Вот и прикинь, юный кулхацкер, нужно ли тебе в нынешней ситуации долбаться с настройкой DNSCrypt-Proxy.

ЗЫ. Я не спец ни по сайберсесуриту, ни по психологии юных кулхацкеров. Всё выше написано в меру моего невежества. В чем я практически уверен, так это в том, что у лоровцев найдутся еще точки на эту Ё.

★★★

Вот и прикинь, юный кулхацкер, нужно ли тебе в нынешней ситуации долбаться с настройкой DNSCrypt-Proxy.

Определенно. Провайдерскими DNS пользуются только ССЗБ. И даже если ты у себя где-то прописал 1.1.1.1 или 8.8.8.8, не факт что провайдер не заворачивает весь dns трафик абонентов на свои сервера.

Meyer ★★★★★
()

На данный момент одно выпилено, другое не запилено

network.dns.echconfig.enabled=true

РКН блочить ESNI не велел

Пока нет, но сильно хочет: «Russian censorship ministry Roscomnadzor planned to ban a range of encryption protocols among which were TLS 1.3 and ESNI which hindered web site access censorship»

P.S. Но я нифига не понял, что ты хотел сказать.

gremlin_the_red ★★★★★
()
Последнее исправление: gremlin_the_red (всего исправлений: 1)

Вообще жаль, что до такой очевидной вещи, что DNS-запросы тоже надо шифровать додумались слишком поздно. Лет бы еще несколько раньше и оно бы плавно стало всеобщим стандартом, как с обычным TLS.

https - же тоже периодически пытаются подмять под себя, но если совсем уже в конченные запреты не скатываться, то оно уже настолько повсеместно, что даже mitm просто поломает весь интернет и приходится скрежеща зубами мириться и вымогать ключи у разных сайтов.

praseodim ★★★★★
()

нужно ли тебе в нынешней ситуации долбаться с настройкой DNSCrypt-Proxy

Зачем долбаться? Настроил и забыл, все работает как часы.

hakavlad ★★★
()
Ответ на: комментарий от gremlin_the_red

network.dns.echconfig.enabled=true

В версиях новее восемьдесят-какой-то не работает. В 78.14.0esr так и включил, дефолтом выключено было.

Но я нифига не понял, что ты хотел сказать.

Хотел донести до юношества, что DNSCrypt и тому подобное, конечно, прячут dns-запросы, защищают от подсовывания недоброго в ответ на эти запросы. Однако, доменные имена могут быть видны «с другой стороны».

Dementy ★★★
() автор топика
Ответ на: комментарий от gremlin_the_red
network.dns.echconfig.enabled=true

У меня давно включено, но судя по wireshark запросы в основном гуляют без него. Подозреваю, что мало кто включает на стороне сервера. А вот ESNI многие адаптировали в своё время.

snizovtsev ★★★★★
()
Ответ на: комментарий от Meyer

Провайдерскими DNS пользуются только ССЗБ.

Теоретически, провайдерский dns-сервер для клиента самый быстрый. Это если провайдер пользует свой сервер по назначению.

На практике там всякие фекальные пробки, а где не пробки - тупо редирект на восьмерки.

если ты у себя где-то прописал 1.1.1.1 или 8.8.8.8, не факт что провайдер не заворачивает весь dns трафик абонентов на свои сервера.

Вот потому лично я DNSCrypt и использую. А не для того, чтобы не видно было, как я в адресной строке linux.org.ru пишу.

Dementy ★★★
() автор топика

Если кто-то ещё не понял, то шифрование в его современном исполнении - это и есть механизм цензуры в интернете.

Неугодным сайтам просто не выпишут сертификат, которому доверяли бы броузеры на пользовательских устройствах.

Manhunt ★★★★★
()
Последнее исправление: Manhunt (всего исправлений: 1)
Ответ на: комментарий от hakavlad

Зачем долбаться? Настроил и забыл, все работает как часы.

Кто-то долбётся. Как раз те, верующие, что что-то сделай по гайду и туториалу, и будет щщастье.

А так-то да. Если не заниматься романтикой и не искать Ъсвободные серваки, которые ложатся прямо когда их прописывают в конфиг:D

Dementy ★★★
() автор топика
Последнее исправление: Dementy (всего исправлений: 1)
Ответ на: комментарий от snizovtsev
network.dns.echconfig.enabled=true

У меня давно включено, но судя по wireshark запросы в основном гуляют без него.

В версиях новее восемьдесят-какой-то не работает. В 78.14.0esr так и включил, дефолтом выключено было.

Подозреваю, что мало кто включает на стороне сервера.

Ну, да. На других сторонах поддержка тоже нужна. Вот фиг его... Возможно, не включают потому, что не хотят ВНЕЗАПНО оказаться невидимыми...

Dementy ★★★
() автор топика
Ответ на: комментарий от praseodim

Вообще жаль, что до такой очевидной вещи, что DNS-запросы тоже надо шифровать додумались слишком поздно.

Но было ли это очевидным? Что логин-пароль в банке не надо всем показывать - да. Но кому надо было скрывать сам факт посещения своего любимого банка или сам факт покупки в посылторге? Меняются времена...

Dementy ★★★
() автор топика
Ответ на: комментарий от hakavlad

И чем Cisco романтичнее CloudFlare?

от слежки провайдера должно защищать.

Хочешь сказать, я ошибаюсь, и провайдер (или, что, возможно, и похуже, любой поц посередине) не может заглянуть в нешифрованные SNI? Ну, хорошо бы так, да, боюсь, что не так.

Dementy ★★★
() автор топика
Ответ на: комментарий от Dementy

провайдер (или, что, возможно, и похуже, любой поц посередине) не может заглянуть в нешифрованные SNI?

Причем тут SNI? Трафик-то в shadowsocks завёрнут.

hakavlad ★★★
()
Ответ на: комментарий от Manhunt

Если кто-то ещё не понял, то шифрование в его современном исполнении - это и есть механизм цензуры в интернете.

Неугодным сайтам просто не выпишут сертификат, которому доверяли бы броузеры на пользовательских устройствах.

Ага. И идет к тому, что http без s броузеры вообще смотреть откажутся. «Неугодные» переселятся в .onion. Следильщикам станет проще работать, ибо у следильщиков достаточно средств, чтобы понаделать действительно много выходных узлов, и ЭйчБиОу уже делает фильмец, который будут крутить по USA_Network. Новое поколение утрачивает веру в луковицы и причащается I2P. С ЛОРа гоняют школие, спрашивающее за Floodfill router.

А над чем мы смеялись лет пять назад, а теперь не смеемся?

Dementy ★★★
() автор топика
Ответ на: комментарий от eternal_sorrow

Ох, действительно, даже nginx и openssl не умеют в ECH. А я думал админы просто ленятся настроить. И на кой тогда мозилла старую версию ESNI выпилила? Работало же много где (кстати как? патч к nginx есть?).

snizovtsev ★★★★★
()
Последнее исправление: snizovtsev (всего исправлений: 2)
Ответ на: комментарий от Dementy

И идет к тому, что http без s броузеры вообще смотреть откажутся.

Firefox уже умеет показывать плашку предупреждения, прежде чем открывать http сайт.

snizovtsev ★★★★★
()
Ответ на: комментарий от hakavlad

Причем тут SNI? Трафик-то в shadowsocks завёрнут.

Причем? Оно уже не надо? Оно уже всегда шифруется?

https://en.wikipedia.org/wiki/Server_Name_Indication

Server Name Indication (SNI) is an extension to the Transport Layer Security (TLS) computer networking protocol by which a client indicates which hostname it is attempting to connect to at the start of the handshaking process.[1] This allows a server to present one of multiple possible certificates on the same IP address and TCP port number and hence allows multiple secure (HTTPS) websites (or any other service over TLS) to be served by the same IP address without requiring all those sites to use the same certificate. It is the conceptual equivalent to HTTP/1.1 name-based virtual hosting, but for HTTPS. This also allows a proxy to forward client traffic to the right server during TLS/SSL handshake. The desired hostname is not encrypted in the original SNI extension, so an eavesdropper can see which site is being requested.

Вот в том-то и прикол. В одном месте запросы шифруются, в другом можно смотреть к каким хостам поциент ходит. Encrypted SNI несколько лет внедряется, да всё какое-то недовнедренное.

И на клиентской стороне. В нынешних версиях Firefox его нет. Да, недавно было, а теперь тю-тю, и network.dns.echconfig.enabled=true на данный момент просто надпись на заборе. Ну, можно старые версии использовать. В Chromium - не знаю, есть ли сейчас, было ли когда-нибудь, планируется ли.

Да вот еще и шифрованные SNI некоторые блочат. Тренируются?

Dementy ★★★
() автор топика
Ответ на: комментарий от Dementy

Да вот еще и шифрованные SNI некоторые блочат. Тренируются?

Всё идёт к тому, что для обычных людей в РФ оставят только TLS с обычным SNI. Остальное по белому списку или талону. Хорошо если UDP оставят. Так пора уже сейчас учиться строить VPN до VPS поверх TLS/fakeTLS.

snizovtsev ★★★★★
()
Ответ на: комментарий от Dementy

Так я про SNI и не говорил, коогда говорил, что dnscrypt приятен и легок в настройке. Я не говорил, что dnscrypt шифрует SNI. Для шифрования SNI есть другие способы.

hakavlad ★★★
()
Ответ на: комментарий от hakavlad

Я не говорил, что dnscrypt шифрует SNI.

Ну и я не говорил, что ты это говорил:).

Я говорил, что шифрование доменных имен, которые мы отправляем, чтобы нам в ответ прислали айпишник не так полезно, как может показаться, если мы те же доменные имена открыто шлем в другое место для сверки сертификата.

Для шифрования SNI есть другие способы.

Есть. Encrypted SNI и Encrypted Client Hello. Но вот же, выясняется, что практически их скорее нет, чем они есть.

Да, всё же интересно. Чем DNSCrypt серверы Cisco лучше серверов CloudFlare? Или просто альтернатива, на всякий случай?

Dementy ★★★
() автор топика
Ответ на: комментарий от Dementy

Новое поколение утрачивает веру в луковицы и причащается I2P

Мне в i2p очень не нравится, что IP компа сразу оказывается в общедоступном списке узлов. В отличие от tor, где по умолчанию, ты просто клиент и ни в какие списки не заносишься.

praseodim ★★★★★
()
Ответ на: комментарий от snizovtsev

Работало же много где

Сомневаюсь. Поддержки тоже почти нигде нет.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от Dementy

Я говорил, что шифрование доменных имен, которые мы отправляем, чтобы нам в ответ прислали айпишник не так полезно, как может показаться, если мы те же доменные имена открыто шлем в другое место для сверки сертификата.

За каждым конкретным ip-адресом числится не так много dns-имён, чтобы сокрытие dns-имени от man-in-the-middle что-то радикально меняло.

Manhunt ★★★★★
()
Ответ на: комментарий от praseodim

Вообще жаль, что до такой очевидной вещи, что DNS-запросы тоже надо шифровать додумались слишком поздно.

Кто додумался? Кому нужно? Это всё бред.

Поясню подробнее:

1) идеологически: сама идея скрывать адрес назначения соединения в быту - полнейшая глупость, с тем же успехом можно пытаться шифровать ip-адреса

2) технически: адепты шифрованных SNI забывают, что ip-адрес и правда не зашифрован, чего в большинстве случаев достаточно для идентификации

3) ввиду того же п.1, тебе надо зашифровать ещё и ip-адрес, накрутив для этого доп. обёртки вокруг соединения; очевидно, эти обёртки (да, они существуют и даже разные) выходят за рамки протокола обмена гипертекстовыми страницами и незачем их в него засовывать; после прикручивания обёрток ESNI ебе станет опять никак не нужно - итого это штука бесполезная

4) помощь монополизации: ESNI кое как может работать по назначению, самостоятельно, если на одном ip-адресе расположена куча организационно независимых сайтов, т.е. это крупный шаред-хостинг либо крупное обратное прокси (cloudflare). Пользуясь услугами таких компаний, ты помогаешь дальнейшей централизации-монополизации интернета, а это плохо (или ты не согласен?). Даже клиенту ESNI: в итоге эти же централизованные компании и сольют его логи по запросу.

5) ненужность: кому это вообще нужно? Мне, как клиенту интернет-сайтов - не нужно (даже если я вдруг захочу скрыть от снифферов свой подключение к некоему сайту, я не стану для этого полагаться на ESNI). Среднестатстическому большинству - не нужно тем более, подключаются они к десятку доменов, всем известных. Не нужно это и владельцам того самого десятка доменов (yandex, vk, mailru, google, youtube, что там ещё?) - они ни от кого не скрывают, то у них много посетителей.

firkax ★★★★★
()
Ответ на: комментарий от snizovtsev

В долгосрочной перспективе поможет только заведение трактора, лучше работать над этим вопросом, если интернет тупо отключат совсем не помогут никакие протоколы и это не такой невозможный сценарий как кажется, людоедам плевать на финансовые и репутационные потери.

BLOBster ★★★
()
Ответ на: комментарий от firkax

1) идеологически: сама идея скрывать адрес назначения соединения в быту - полнейшая глупость, с тем же успехом можно пытаться шифровать ip-адреса

Но, кстати, в даркнетах-то как раз и скрываются IP-адреса.

praseodim ★★★★★
()
Ответ на: комментарий от BLOBster

поможет только заведение трактора,

Еще бы понять куда. Где-то сам не захочешь жить, даже при незаблокированном инете.

А вообще, «там» тоже с ума сходят, правда в немного другой плоскости. Вот пример недавний https://www.youtube.com/watch?v=x0sM0BWNmEg

Мигранты 6 часов насиловали шведского 21-летнего парня, в том числе бутылкой. На суде над ним издевались. Парень где-то опубликовал их имена. Просто имена. Все. Его засудили за «Язык ненависти». И подобная мерзопакостная толерастия и всякая BLM-щина уже широко распространились.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Да, мест где все относительно неплохо осталось не так много.

З.Ы. чето совсем все плохо в швециях, но «решение» которое предлагает этот Осташко еще ужаснее, концлагерь с чипированием и биометрией, можно подумать у насильников шишка стоять от этого перестанет.

BLOBster ★★★
()
Ответ на: комментарий от BLOBster

Да я на предлагаемые решения особо и не смотрел. Потому что нормальное решение тут может быть только просто нормальное наказание преступников, а не их жертв. Как когда-то и было.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

это я в п.3 упомянул

суть в том что в даркнете ESNI от бытового TLS тоже не нужно т.к. там и без него всё давно зашифровано

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от praseodim

Не читайте до обеда советских газет ©. Другие пока ещё не все заблокировали.

snizovtsev ★★★★★
()

ЯНПП, какой-то поток сознания.

Firefox часто долбит моск «неправильными» сертификатами,

Сломал ты где-то лису себе.

frunobulax ★★
()
Ответ на: комментарий от BLOBster

Полностью согласен, лучше инвестировать время в трактор. Но VPN всё равно нужен. Как минимум, чтобы профиль в Linkedin заполнить.

На самом деле вряд ли интернет ограничат настолько, что гик не сможет прорубить себе канал. Не будут работать VPN приложения одной кнопкой, а рубильником пользуются только локально и временно. Я больше опасаюсь, что зарубят святой грааль IT: финансовые транзакции из-за рубежа, т.е. удалёнку на зарубежного дядю. Это поставит всех в зависимость от местного начальника, на которого можно надавить.

snizovtsev ★★★★★
()

шифрование не для того, чтобы провайдер не знал, какую порнуху кто смотрит

https — для того, чтобы провайдер не смог подменить порнуху на свою собственную!

ugoday ★★★★★
()
Ответ на: комментарий от snizovtsev

Полностью согласен, лучше инвестировать время в трактор.

Не раньше чем св. Маск марсианские ракеты построит.

ugoday ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.