Can't open https://github.com

[diakin]

https://github.com Secure Connection Failed An error occurred during a connection to github.com. PR_CONNECT_RESET_ERROR The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.

Внизу слева пишет -Performing a TLS handshake to github.com...

Потом закрывал-открывал браузер, перезагружал страницу - https://github.com открылся.

[NS-Clone]

открываетсо норм можот утя время на компе ушло а потом синхронизировалось? на ХРю как раз времена уходят :rofl:

[Al6bus]

юзай впн или тормоши своего провайдера

[diakin]

Я тестил на Win7. Github Яндекс браузер открывает без проблем, Edge тоже. Висит на этом - Performing a TLS handshake to github.com... Потом открывается... или не открывается.

Вообще хотел этот браузер использовать в ReactOS. Так-то в Win7 все прекрасно работает, современные сайты открывает. Банковские тоже.

[dartraiden]

Проблема не в браузере, см в конце поста

[diakin]

Понижайте уровень TLS через about:config security.tls.version.max 1 = TLS 1.0 2 = TLS 1.1 3 = TLS 1.2 4 = TLS 1.3

Переключил на 1.2 - все работает. А во что это выливается с точки зрения безопасности? Я так понимаю, что ничего страшного? В 1.3 запрещены старые протоколы. Или лучше оставить 1.3, а гитхаб как-нибудь через antizapret?

[dartraiden]

TLS 1.3, емнип, работает быстрее за счёт того, что там рукопожатие более короткое. Конечно, речь идёт про считанные миллисекунды. В общем, там много отличий. Я бы из-за одного сайта не стал все даунгрейдить, это оверкилл.

[NS-Clone]

вангую что сразу сбеситсо клоунфларе и перестанет пускать на все сайты

[diakin]

Не получилось установить расширение антизапрет. [runet-censorship-bypass-0.0.1.56-full-rc0.zip] пишет, что несовместима 0.0.1.49 - устанавливается, но пишет Ошибка расширения - chrome.proxy.settings.onChange is undefined.

[sergeevabc]

Ребят, погодите, рано ссылаемся на РКН. Берём хромообразный браузер 100+, в тесте он показывает поддержку TLS 1.3, как и Pale Moon 32. как и MyPal 68, Из них только последний не открывает Github. Прокси и прочие трюки выключены.

[dartraiden]

У хромиума может быть некий механизм определения проблем и отката на более раннюю версию TLS

Да и кого ещё винить в том, что у части россиян в Gecko-based браузерах проблемы с соединением? Общий знаменатель тут только РКН.

ср, 10 янв. 2024 г., 04:30 Aleksandr Sergeev @.***>:

Ребят, погодите, рано ссылаемся на РКН. Берём хромообразный браузер 100+, в тесте https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html он показывает поддержку TLS 1.3, как и Pale Moon 32. как и MyPal 68, Из них только последний не открывает Github. Никаких прокси и изменений трафика не используется.

— Reply to this email directly, view it on GitHub https://github.com/Feodor2/Mypal68/issues/348#issuecomment-1884049615, or unsubscribe https://github.com/notifications/unsubscribe-auth/ABGQER7AWKFQTIRPCL5BRQTYNXVKZAVCNFSM6AAAAABBJJ7XVOVHI2DSMVQWIX3LMV43OSLTON2WKQ3PNVWWK3TUHMYTQOBUGA2DSNRRGU . You are receiving this because you commented.Message ID: @.***>

[sergeevabc]

Анализ уровня «нюхом чую» принять не могу.

• Беру несколько портативных версий Firefox ESR: 78, 91, 102
• Github.com не открывается в 78 и 91
• Github.com открывается в 102:
  • Соединение установлено по TLS 1.3
  • Шифр AES 128 GCM SHA256
  • Сертификат DigiCert
• Иду в консоль разработчика MyPal и копирую параметры запроса к Github.com, после чего скармливаю их в Curl 8.5
  Лог успешного соединения по TLS 1.3

$ curl.exe -vI "https://github.com/" -H "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:78.0) Gecko/20100101 Firefox/78.0 Mypal/68.13.7" -H "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8" -H "Accept-Language: en-US,en;q=0.5" --compressed -H "Connection: keep-alive" -H "Upgrade-Insecure-Requests: 1" -H "Pragma: no-cache" -H "Cache-Control: no-cache"
* Host github.com:443 was resolved.
* IPv6: (none)
* IPv4: 140.82.121.3
*   Trying 140.82.121.3:443...
* Connected to github.com (140.82.121.3) port 443
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: C:\Test\curl\curl-ca-bundle.crt
*  CApath: none
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Unknown (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_CHACHA20_POLY1305_SHA256 / [blank] / UNDEF
* ALPN: server accepted h2
* Server certificate:
*  subject: C=US; ST=California; L=San Francisco; O=GitHub, Inc.; CN=github.com
*  start date: Feb 14 00:00:00 2023 GMT
*  expire date: Mar 14 23:59:59 2024 GMT
*  subjectAltName: host "github.com" matched cert's "github.com"
*  issuer: C=US; O=DigiCert Inc; CN=DigiCert TLS Hybrid ECC SHA384 2020 CA1
*  SSL certificate verify ok.
*   Certificate level 0: Public key type ? (256/128 Bits/secBits), signed using ecdsa-with-SHA384
*   Certificate level 1: Public key type ? (384/192 Bits/secBits), signed using sha384WithRSAEncryption
*   Certificate level 2: Public key type ? (2048/112 Bits/secBits), signed using sha1WithRSAEncryption
* old SSL session ID is stale, removing
* using HTTP/2
* [HTTP/2] [1] OPENED stream for https://github.com/
* [HTTP/2] [1] [:method: HEAD]
* [HTTP/2] [1] [:scheme: https]
* [HTTP/2] [1] [:authority: github.com]
* [HTTP/2] [1] [:path: /]
* [HTTP/2] [1] [accept-encoding: deflate, gzip, br, zstd]
* [HTTP/2] [1] [user-agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:78.0) Gecko/20100101 Firefox/78.0 Mypal/68.13.7]
* [HTTP/2] [1] [accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8]
* [HTTP/2] [1] [accept-language: en-US,en;q=0.5]
* [HTTP/2] [1] [upgrade-insecure-requests: 1]
* [HTTP/2] [1] [pragma: no-cache]
* [HTTP/2] [1] [cache-control: no-cache]
> HEAD / HTTP/2
> Host: github.com
> Accept-Encoding: deflate, gzip, br, zstd
> User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:78.0) Gecko/20100101 Firefox/78.0 Mypal/68.13.7
> Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
> Accept-Language: en-US,en;q=0.5
> Connection: keep-alive
> Upgrade-Insecure-Requests: 1
> Pragma: no-cache
> Cache-Control: no-cache
>
< HTTP/2 200
...

• Возвращаюсь в MyPal и убеждаюсь, что TLS 1.3 вообще работает, для чего открываю, например, Github.ink:
  • Соединение установлено по TLS 1.3
  • Шифр AES 256 GCM SHA384

  • Сертификат ZeroSSL

    Из этого не видно блокировки РКН. Видно, что проблема касается старых версий Firefox. Что-то на уровне шифров и хранилища сертификатов.

[dartraiden]

Видно, что проблема касается старых версий Firefox

Проблема и на актуальных версиях возникает. Были пострадавшие на ЛОРе с Firefox 121. Никакой системы нет: есть пострадавшие со старыми версиями, и с актуальными, и с Windows, и с Linux, и с антивирусами, влезаюшими в трафик, и без антивирусов. Единственное, что пока объединяет пострадавших - страна нахождения.

Вот тут есть мысль, что влияет некая настройка. Но, например, у меня это не воспроизводится.

[diakin]

Я предлагал сделать в пользовательских настройках некий список сайтов-исключений на которых автоматом переходит на TLS1.2 Настройки же можно менять на лету.

[sergeevabc]

@dartraiden, решение тем ближе, чем больше вещественного в обсуждении.

Например, логов соединений, особенно снятых программой Wireshark, которые любит анализировать @valdikss, автор Antizapret и GoodbyeDPI. Я привёл хоть какой-то лог, подтверждающий, что соединение устанавливается напрямую (через Curl, имитирующий Firefox).

Что это за уникальная технология на рынке, которая блокирует только одну из нескольких программ, отправляющих аналогичный запрос? Вот есть конкретный лог и вопрос, на который нужно ответить.

Ответ «в России сообщают о похожих проблемах, значит, звоните в РНК» это отписка, лишь бы самим ничего не делать — в России может гаснуть свет в подъезде, только у одних лампочку выкручивают хулиганы, а у других проводка коротит, но «винить надо президента».

Блокировку должно быть видно, это не квантовая физика.

---

Как выглядит блокировка по имени и по айпи «глазами» Curl

``` console $ curl.exe -vI https://rutracker.org/forum/index.php * Host rutracker.org:443 was resolved. * IPv6: (none) * IPv4: 172.67.182.196, 104.21.32.39 * Trying 172.67.182.196:443... * Connected to rutracker.org (172.67.182.196) port 443 * ALPN: curl offers h2,http/1.1 * TLSv1.3 (OUT), TLS handshake, Client hello (1): * CAfile: C:\Test\curl\curl-ca-bundle.crt * CApath: none * Recv failure: Connection was reset * LibreSSL/3.8.2: error:14FFF3E7:SSL routines:(UNKNOWN)SSL_internal:unknown failure occurred * Closing connection * Recv failure: Connection was reset curl: (35) Recv failure: Connection was reset $ curl.exe -vI https://www.itprotoday.com/ * Host www.itprotoday.com:443 was resolved. * IPv6: (none) * IPv4: 104.17.8.53, 104.17.9.53 * Trying 104.17.8.53:443... * connect to 104.17.8.53 port 443 from 0.0.0.0 port 63042 failed: Timed out * Trying 104.17.9.53:443... * connect to 104.17.9.53 port 443 from 0.0.0.0 port 63044 failed: Timed out * Failed to connect to www.itprotoday.com port 443 after 42092 ms: Couldn't connect to server * Closing connection curl: (28) Failed to connect to www.itprotoday.com port 443 after 42092 ms: Couldn't connect to server ```

Осмотр Github.com программой SSLScan

``` console $ sslscan.exe -4 --tlsall --show-sigs github.com:443 Version: 2.1.1 Windows 64-bit (Mingw) OpenSSL 3.0.9 30 May 2023 Connected to 140.82.121.3 Testing SSL server github.com on port 443 using SNI name github.com SSL/TLS Protocols: TLSv1.0 disabled TLSv1.1 disabled TLSv1.2 enabled TLSv1.3 enabled TLS Fallback SCSV: Server supports TLS Fallback SCSV TLS renegotiation: Session renegotiation not supported TLS Compression: Compression disabled Heartbleed: TLSv1.3 not vulnerable to heartbleed TLSv1.2 not vulnerable to heartbleed Supported Server Cipher(s): Preferred TLSv1.3 128 bits TLS_AES_128_GCM_SHA256 Curve 25519 DHE 253 Accepted TLSv1.3 256 bits TLS_CHACHA20_POLY1305_SHA256 Curve 25519 DHE 253 Accepted TLSv1.3 256 bits TLS_AES_256_GCM_SHA384 Curve 25519 DHE 253 Preferred TLSv1.2 128 bits ECDHE-ECDSA-AES128-GCM-SHA256 Curve 25519 DHE 253 Accepted TLSv1.2 256 bits ECDHE-ECDSA-CHACHA20-POLY1305 Curve 25519 DHE 253 Accepted TLSv1.2 256 bits ECDHE-ECDSA-AES256-GCM-SHA384 Curve 25519 DHE 253 Accepted TLSv1.2 128 bits ECDHE-ECDSA-AES128-SHA256 Curve 25519 DHE 253 Accepted TLSv1.2 256 bits ECDHE-ECDSA-AES256-SHA384 Curve 25519 DHE 253 Accepted TLSv1.2 256 bits ECDHE-ECDSA-AES256-SHA Curve 25519 DHE 253 Server Key Exchange Group(s): TLSv1.3 128 bits secp256r1 (NIST P-256) TLSv1.3 128 bits x25519 TLSv1.2 128 bits secp256r1 (NIST P-256) Server Signature Algorithm(s): TLSv1.3 ecdsa_secp256r1_sha256 TLSv1.2 rsa_pkcs1_sha224 TLSv1.2 rsa_pkcs1_sha256 TLSv1.2 rsa_pkcs1_sha384 TLSv1.2 rsa_pkcs1_sha512 SSL Certificate: Signature Algorithm: ecdsa-with-SHA384 ECC Curve Name: prime256v1 ECC Key Strength: 128 Subject: github.com Altnames: DNS:github.com, DNS:www.github.com Issuer: DigiCert TLS Hybrid ECC SHA384 2020 CA1 Not valid before: Feb 14 00:00:00 2023 GMT Not valid after: Mar 14 23:59:59 2024 GMT ```

Осмотр Github.com программой SSLyze

``` console $ sslyze.exe --mozilla_config disable github.com:443 CHECKING CONNECTIVITY TO SERVER(S) ---------------------------------- github.com:443 => 140.82.112.4 SCAN RESULTS FOR GITHUB.COM:443 - 140.82.112.4 ---------------------------------------------- * Certificates Information: Hostname sent for SNI: github.com Number of certificates detected: 2 Certificate #0 ( _EllipticCurvePublicKey ) SHA1 Fingerprint: a3b59e5fe884ee1f34d98eef858e3fb662ac104a Common Name: github.com Issuer: DigiCert TLS Hybrid ECC SHA384 2020 CA1 Serial Number: 17034156255497985825694118641198758684 Not Before: 2023-02-14 Not After: 2024-03-14 Public Key Algorithm: _EllipticCurvePublicKey Signature Algorithm: sha384 Key Size: 256 Curve: secp256r1 SubjAltName - DNS Names: ['github.com', 'www.github.com'] Certificate #0 - Trust Hostname Validation: OK - Certificate matches server hostname Android CA Store (14.0.0_r9): OK - Certificate is trusted Apple CA Store (iOS 17, iPadOS 17, macOS 14, tvOS 17, and watchOS 10):OK - Certificate is trusted Java CA Store (jdk-13.0.2): OK - Certificate is trusted Mozilla CA Store (2023-12-11): OK - Certificate is trusted Windows CA Store (2023-12-11): OK - Certificate is trusted Symantec 2018 Deprecation: OK - Not a Symantec-issued certificate Received Chain: github.com --> DigiCert TLS Hybrid ECC SHA384 2020 CA1 Verified Chain: github.com --> DigiCert TLS Hybrid ECC SHA384 2020 CA1 --> DigiCert Global Root CA Received Chain Contains Anchor: OK - Anchor certificate not sent Received Chain Order: OK - Order is valid Verified Chain contains SHA1: OK - No SHA1-signed certificate in the verified certificate chain Certificate #0 - Extensions OCSP Must-Staple: NOT SUPPORTED - Extension not found Certificate Transparency: OK - 3 SCTs included Certificate #0 - OCSP Stapling NOT SUPPORTED - Server did not send back an OCSP response Certificate #1 ( _RSAPublicKey ) SHA1 Fingerprint: e94e54a930863d535ba0d2d3a5dd0de3bda8c9c2 Common Name: github.com Issuer: DigiCert Global G2 TLS RSA SHA256 2020 CA1 Serial Number: 4555571176012571581943061440159851100 Not Before: 2023-04-21 Not After: 2024-04-23 Public Key Algorithm: _RSAPublicKey Signature Algorithm: sha256 Key Size: 2048 Exponent: 65537 SubjAltName - DNS Names: ['github.com', 'www.github.com'] Certificate #1 - Trust Hostname Validation: OK - Certificate matches server hostname Android CA Store (14.0.0_r9): OK - Certificate is trusted Apple CA Store (iOS 17, iPadOS 17, macOS 14, tvOS 17, and watchOS 10):OK - Certificate is trusted Java CA Store (jdk-13.0.2): OK - Certificate is trusted Mozilla CA Store (2023-12-11): OK - Certificate is trusted Windows CA Store (2023-12-11): OK - Certificate is trusted Symantec 2018 Deprecation: OK - Not a Symantec-issued certificate Received Chain: github.com --> DigiCert Global G2 TLS RSA SHA256 2020 CA1 Verified Chain: github.com --> DigiCert Global G2 TLS RSA SHA256 2020 CA1 --> DigiCert Global Root G2 Received Chain Contains Anchor: OK - Anchor certificate not sent Received Chain Order: OK - Order is valid Verified Chain contains SHA1: OK - No SHA1-signed certificate in the verified certificate chain Certificate #1 - Extensions OCSP Must-Staple: NOT SUPPORTED - Extension not found Certificate Transparency: OK - 3 SCTs included Certificate #1 - OCSP Stapling NOT SUPPORTED - Server did not send back an OCSP response * SSL 2.0 Cipher Suites: Attempted to connect using 7 cipher suites; the server rejected all cipher suites. * SSL 3.0 Cipher Suites: Attempted to connect using 80 cipher suites; the server rejected all cipher suites. * TLS 1.0 Cipher Suites: Attempted to connect using 80 cipher suites; the server rejected all cipher suites. * TLS 1.1 Cipher Suites: Attempted to connect using 80 cipher suites; the server rejected all cipher suites. * TLS 1.2 Cipher Suites: Attempted to connect using 156 cipher suites. The server accepted the following 18 cipher suites: TLS_RSA_WITH_AES_256_GCM_SHA384 256 TLS_RSA_WITH_AES_256_CBC_SHA256 256 TLS_RSA_WITH_AES_256_CBC_SHA 256 TLS_RSA_WITH_AES_128_GCM_SHA256 128 TLS_RSA_WITH_AES_128_CBC_SHA256 128 TLS_RSA_WITH_AES_128_CBC_SHA 128 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 256 ECDH: X25519 (253 bits) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 256 ECDH: prime256v1 (256 bits) TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 256 ECDH: prime256v1 (256 bits) TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 256 ECDH: prime256v1 (256 bits) TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 128 ECDH: prime256v1 (256 bits) TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 128 ECDH: prime256v1 (256 bits) TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 256 ECDH: X25519 (253 bits) TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 256 ECDH: prime256v1 (256 bits) TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 256 ECDH: prime256v1 (256 bits) TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 256 ECDH: prime256v1 (256 bits) TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 128 ECDH: prime256v1 (256 bits) TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 128 ECDH: prime256v1 (256 bits) The group of cipher suites supported by the server has the following properties: Forward Secrecy OK - Supported Legacy RC4 Algorithm OK - Not Supported * TLS 1.3 Cipher Suites: Attempted to connect using 5 cipher suites. The server accepted the following 3 cipher suites: TLS_CHACHA20_POLY1305_SHA256 256 ECDH: X25519 (253 bits) TLS_AES_256_GCM_SHA384 256 ECDH: X25519 (253 bits) TLS_AES_128_GCM_SHA256 128 ECDH: X25519 (253 bits) * Deflate Compression: OK - Compression disabled * OpenSSL CCS Injection: OK - Not vulnerable to OpenSSL CCS injection * OpenSSL Heartbleed: OK - Not vulnerable to Heartbleed * ROBOT Attack: OK - Not vulnerable. * Session Renegotiation: Client Renegotiation DoS Attack: OK - Not vulnerable Secure Renegotiation: OK - Supported * Elliptic Curve Key Exchange: Supported curves: X25519, prime256v1 Rejected curves: X448, prime192v1, secp160k1, secp160r1, secp160r2, secp192k1, secp224k1, secp224r1, secp256k1, secp384r1, secp521r1, sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1 ```

[sergeevabc]

Новая информация.

• MyPal, FF ESR 78 и FF ESR 91 не могут открыть адрес https://github.com/
• А если ввести https://www.github.com:443/ то перебрасывает на ^ и работает

@diakin, можете проверить у себя этот способ?

[zanud]

• MyPal, FF ESR 78 и FF ESR 91 не могут открыть адрес https://github.com/

Только что MyPal 68.13.7b эту ссылку открыл без каких-либо проблем.

[zanud]

У меня за несколько дней до Нового Года начались точно такие же проблемы с заходом на разные сайты, куда я до того чуть ли не ежедневно заходил без каких-либо проблем (DuckDuckGo, Google, YouTube). То PR_CONNECT_RESET_ERROR, то "Сайт не отвечает", то "Сайт не найден", то ещё что-то. Хотя если долго ломиться, то попасть можно.

Но: Если я на эти же сайты захожу не с росссийского IP-адреса, а через заграничный прокси, всё тут же начинает открываться с полпин[к/г]а. Выключаю использование прокси - немедленно те же проблемы.

Как вы понимаете, на уровень TLS прокси никак влиять не может.

[ValdikSS]

Что это за уникальная технология на рынке, которая блокирует только одну из нескольких программ, отправляющих аналогичный запрос? Вот есть конкретный лог и вопрос, на который нужно ответить.

Блокировка по TLS Fingerprint. Это блокировка со стороны России. github.com-mypal68-rublock.zip

[zanud]

Блокировка по TLS Fingerprint. Это блокировка со стороны России.

Тогда почему она распространяется только на очень избранные программы? И почему не действует, когда я работаю через прокси? Прокси ведь никак на зашифрованные данные не влияет.

[dartraiden]

Потому что оно не по программам блокирует, а по паттернам в трафике. У Firefox и Chrome разный отпечаток TLS. Возможно (и даже вероятнее всего), они пытаются блокировать что-то иное, но под этот паттерн попадает и трафик, генерируемый Firefox.

[ValdikSS]

И почему не действует, когда я работаю через прокси? Прокси ведь никак на зашифрованные данные не влияет.

У вас прокси, с большой вероятностью, работает не на порту 443, а для этого типа блокировки анализируют только его.

[sergeevabc]

@ValdikSS, вы говорите, что у разных программ разный отпечаток при отправке запросов по защищённому соединению. А я замечал, что уже Firefox ESR 102 открывает github.com без дополнительных уловок. По крайней мере у меня, глядишь, ещё кто скачает и проверит — @diakin, ку-ку.

Следует ли из этого, что можно взять отпечаток FF 102, внедрить его в MyPal, как ранее @Feodor2 внедрил Javascript-движок от FF 78 в MyPal 68, тем самым решить вопрос с доступом к этому сайту?

[zanud]

Кстати, насчёт доступа к Github. Я сначала удивился, почему здесь все пишут, что к нему доступ пропал, а у меня этой проблемы нет, только на DuckDuckGo, Google пробуксовки появились. Потом просмотрел повнимательнее свой proxy.pac - а в нём github.com прописан. Но раз я об этом не помнил, то значит, прописал я его там давно, года два уже как, и явно не из-за РКН, а из-за его собственной политики.

Как же вы все на него месяц назад попадали? Они свою блокировку отменили?

[zanud]

Блокировка по TLS Fingerprint. Это блокировка со стороны России.

Но ведь анализатор видит, с каким сайтом обмен идёт. Ему же не только IP-адреса доступны (которые в любом случае видны), в HTTPS и имя сайта открытым текстом передаётся.

Вот сейчас у меня проблемы с DuckDuckGo, Google, YouTube, но ни одного сайта из этой троицы в списках РКН нет.

[sergeevabc]

Как же вы все на него месяц назад попадали?

Я заходил (и захожу) на github.com без проблем с помощью браузеров на базе Gecko 102 и старше (форки Лисы) и Chome 102 и старше (форки Хрома).

@zanud, мы тут о доступе только к github.com и только через MyPal, а не вообще о блокировках, а то тема быстро замылится, а нужно найти решение.

На данный момент автору темы нужно проверить одно и второе. Ждём.

[zanud]

А я убрал github.com из своего proxy.pac, после чего без проблем зашёл на него с помощью MyPal 68.13.7b (как на данную страницу, так и на главную сайта в целом).

[zanud]

Заодно проверил те три сайта, с которых у меня всё началось, а и там уже всё в порядке, соединяется моментально.

Похоже, мастера протрезвели и окно в мир починили.

[diakin]

Когда ввожу https://www.github.com:443/ оно в строке меняется на https://www.github.com/ и соответственно висит. Но.. бывает повисит-повисит и зайдет на сайт.

Только что открыл MyPal и зашел на гитхаб. Через 5 минут снова пытаюсь зайти - висит ждет TLS.

[diakin]

Вот сейчас пытаюсь

https://github.com/Feodor2/Mypal68/issues/348#issuecomment-1885005862

Secure Connection Failed An error occurred during a connection to github.com. PR_CONNECT_RESET_ERROR

The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem.

[diakin]

скачал Mozilla Firefox, Portable Edition Legacy 102 зашел мгновенно.

[sergeevabc]

@Feodor2, можете изменить TLS отпечаток MyPal на используемый в FF 102?

[diakin]

Скачал VPN попробовал, пшерги github открывается мгновенно в MyPal.

[zanud]

можете изменить TLS отпечаток MyPal на используемый в FF 102?

"TLS отпечаток" это не данные (набор байтов), который можно тупо скопировать, а какие-то характерные особенности последовательности IP-пакетов, которой обмениваются браузер и сервер (причём, какие именно - знают только те, кто поток перехватывает и анализирует).

Чтобы такое повторить в другой программе, может понадобиться переписать в ней изрядный объём кода, что может потребовать очень много времени.

[diakin]

Чтобы такое повторить в другой программе, может понадобиться переписать в ней изрядный объём кода А может там просто длл-ку можно позаимствовать...

[diakin]

В любом случае костыль со сбросом настроек до TLS1.2 решает проблему.

[sergeevabc]

@zanud, может быть, дадим автору проекта оценить объём работ и высказаться, а не будем навязывать своё представление о том, сложно ли взять кусок кода из одного open source проекта и адаптировать к другому open source проекту, что автор делал уже много-много раз?

[zanud]

@diakin

А может там просто длл-ку можно позаимствовать...

Если такое можно сделать, значит, интерфейс соответствующего модуля не изменился, а в таком случае и в исходниках перенести будет легко.

@sergeevabc Где в моих словах можно было увидеть навязывание мнения, тем более автору? Я просто объясняю здесь присутствующим, что "взять кусок кода из одного open source проекта и адаптировать к другому open source проекту" может быть о-о-чень сложно, а с тало быть - долго. Чтобы вы не ждали чудес на Старый Новый год. Тем более, что автору, для того, чтобы у себя эту проблему воспроизвести, нужно (строго по классике) сменить страну проживания.

[ValdikSS]

Блокируют сочетание:

Cipher Suites (18 suites)
    Cipher Suite: TLS_AES_128_GCM_SHA256 (0x1301)
    Cipher Suite: TLS_CHACHA20_POLY1305_SHA256 (0x1303)
    Cipher Suite: TLS_AES_256_GCM_SHA384 (0x1302)

Установите в about:config

security.ssl3.ecdhe_ecdsa_chacha20_poly1305_sha256=false
security.ssl3.ecdhe_rsa_chacha20_poly1305_sha256=false

Как вариант.

[diakin]

Вот, "по совету друзей" добавил в настройки строчку security.tls13.chacha20_poly1305_sha256 -> false все работает вроде и гитхаб тоже.

[dartraiden]

Можно и другой шифронабор отключать, например security.tls13.aes_256_gcm_sha384 = false Принцип тот же: раз ТСПУ триггерятся на сочетание, нужно это сочетание изменить, отключив один из шифронаборов.

[JeanPaulLucien]

An error occurred during a connection to github.com. PR_CONNECT_RESET_ERROR

Not Mypal issue. This error message means somebody wish to break a security. If you can't get access to Github access from Russia, talk with your internet provider.

[JeanPaulLucien]

Блокировку должно быть видно, это не квантовая физика.

I do not know when internet provider said: "Yeah, we block access to resource". People in Russia are sure that they can't visit some website because angry website owner forbids that. Internet providers say: "Contact with website support." People were much surprised when we told them that RKN does that.

[JeanPaulLucien]

TLS Fingerprint

https://bugzilla.mozilla.org/show_bug.cgi?id=1850504

[sergeevabc]

@JeanPaulLucien, folks who reported problems with Github in this thread used FF forks < 102, MyPal included. There is no such problem with FF 102+. It means we can take part of the upstream code and adapt it here to solve the issue. Whether the developer will do this is unknown. While he is thinking, a couple of workarounds related to changing about:config preferences have been proposed. That is why new messages are no longer published here, we are waiting. Thanks for stopping by, move on.

[dartraiden]

I do not know when internet provider said: "Yeah, we block access to resource".

ТСПУ управляются не провайдером (для провайдеров это "чёрные ящики"), никаких заглушек с сообщениями пользователю не отдают.

While he is thinking

А что, собственно, может сделать разработчик, кроме как отключить по умолчанию одну из указанных настроек, чтобы изменился набор шифров, на который триггерится аппаратный цензор. Но это костыль, причём, заточенный под одну конкретную страну, а поддержки этого шифрсьюта лишатся все пользователи, даже если они не в России.

Плюс отсюда вытекает проблема: чем хуже другие ресурсы, доступ к которым тоже блокируется на ТСПУ? Почему обход блокировки github.com нужно реализовать, а обход блокировки других ресурсов нет? Ответ тут, как мне видится, только один - обход блокировок выходит за рамки проекта.

[zanud]

ТСПУ управляются не провайдером (для провайдеров это "чёрные ящики")

Позавчера мне выпала возможность попеременно подключаться к двум разным провайдерам. Пытаюсь зайти на GitHub и прочие серверы, "забуксовавшие" перед Новым годом, - "буксуют", как и раньше. Переключаюсь на альтернативного провайдера - всё работает без каких-либо проблем. Тут же возвращаюсь на своего обычного провайдера - опять "буксовка".

Несколько раз в течение дня проверял, и каждый раз картина была как описано выше. А ведь, по идее, ТСПУ из одного центра управляются.

А что, собственно, может сделать разработчик, кроме как отключить по умолчанию одну из указанных настроек, чтобы изменился набор шифров, на который триггерится аппаратный цензор.

Использовать другой код работы с сетью - ведь работают же сейчас последние версии Firefox.

Хуже всего здесь то, что блокировка срабатывает не на сами шифры, а на некие косвенные признаки их использования. И набор признаков, по которым происходит опознание, блокирующая сторона в любой момент может изменить, после чего все затраченные создателем браузера усилия окажутся напрасными.

[zanud]

@JeanPaulLucien Let look when this issue was created. And for me this problem started even earlier - in the second half of December. Definitely, RKN hired some great forecasters.

[sergeevabc]

Хуже всего здесь то, что … блокирующая сторона в любой момент может изменить, после чего все затраченные создателем браузера усилия окажутся напрасными.

Хорош драматизировать. Давайте не делать вообще ничего, т.к. Солнце не вечное, пригодных для переселения планет не видать, а если и видать, то долететь невозможно, а если возможно, то столкновение галактики Млечного Пути с Андромедой это обнулит, если до того не собьёт метеоритным дождём.

Предназначение MyPal — показывать сайты под Windows XP. Для этого в код постоянно добавляют технологии из старших версий, например, обновляют движок Javascript, иначе сайты перестанут отображаться корректно. Ровно так нужно обновить и «код работы с сетью». Ведь очевидно, что Github работает в FF 102+ не потому, что в последнем отключены шифры. Не размышлять об этой возможности можно только по одной причине: если нужный «код для работы с сетью» несовместим с XP, чего доказано не было, т.к. его ещё не смотрели.

[zanud]

@sergeevabc Если пройти по одной из даденных чуть выше ссылок, то можно узнать, что полгода назад проблема, аналогичная нашей, вылезла с текущей на тот момент версией FF в Туркменистане. И тогда, как и сейчас, пользователей Хрома она не затронула. Что сказали разработчики FF? "Мы, конечно, можем сделать наш обмен с серверами похожим на Хромовский, но смысла в этом не видим."

[sergeevabc]

@zanud, Туркменистан — страна маленькая (7 млн) и экзотическая, у них и блокировки экзотические. Это как восхититься самоуправлением кантонов в Швейцарии и потом вздыхать, ну почему в России не так, забывая, что в первой стране живёт 9 млн с протяжённостью с запад на восток 350 км с альпийскими коровами, а во второй — 145 млн и 10 000 км с таблицей Менделеева.

У нас блокируют по домену и айпи. Разве этих методов уже не хватает, чтобы ограничить доступ? Хватает, но к Github их не применяют. Как писал @dartraiden, эта блокировка по отпечатку всплыла скорее как побочный эффект охоты на что-то другое, но попутно досталось пользователям Firefox <102.

А разработчики из штата Калифорния (где живёт 40 млн) скорее зачешутся. если намекнуть им, что Трамп «вот-вот опять придёт и порядок наведёт, копируя пример Туркменистана; диктаторы же одним миром мазаны». DoH вон добавили в браузер, чтобы избежать поглядывания и блокировки по DNS.