search

hackerchai / blog

My Personal Blog Repo
https://blog.hackerchai.com
MIT License
0 stars 0 forks source link

ESNI和加密DNS - 保护信息隐私的最后一块拼图 #1

Closed hackerchai closed 9 months ago

hackerchai commented 5 years ago

https://blog.hackerchai.com/encrypted-sni-anti-censorship/

ESNI随着TLS1.3的发布,让该协议成为有史以来最安全、也是最复杂的TLS协议。在该协议之中,有很多的对于以往协议安全漏洞的修复,包括废弃RSA启用新的秘钥交换机制PSK等等。而Encrypted SNI作为一个TLS1.3的扩展协议用来防止传统的HTTPS流量受到ISP或者陌生网络环境的窥探以及一些网络审查。在过去,由于HTTPS协议之中Server Name Indication - SN

hackerchai commented 5 years ago

test git talk

chenIshi commented 4 years ago

感謝筆者這篇詳細分析的文章 剛剛在看過去相關的論文,正好提到 SNI 對 CDN on practical censorship evasion 的部份 想說網上找看看現今的部屬狀況,就看到您的這篇文章 實在是太感謝了

hackerchai commented 4 years ago

@chenIshi 感謝筆者這篇詳細分析的文章 剛剛在看過去相關的論文,正好提到 SNI 對 CDN on practical censorship evasion 的部份 想說網上找看看現今的部屬狀況,就看到您的這篇文章 實在是太感謝了

也谢谢你来读这篇文章,目前我对国内互联网的隐私问题比较关注,马上会写两篇关于查昂用平台保护隐私的文章

chenIshi commented 4 years ago

@hackerchai

@chenIshi 感謝筆者這篇詳細分析的文章 剛剛在看過去相關的論文,正好提到 SNI 對 CDN on practical censorship evasion 的部份 想說網上找看看現今的部屬狀況,就看到您的這篇文章 實在是太感謝了

也谢谢你来读这篇文章,目前我对国内互联网的隐私问题比较关注,马上会写两篇关于查昂用平台保护隐私的文章

我自己測試 firefox-nightly 73 的結果下,需要把 network.trr.mode 調整成 3 並且需要設定 network.security.esni.enabledtrue (參考文章) 才能通過 esni 檢驗

hackerchai commented 4 years ago

@chenIshi

@hackerchai

@chenIshi 感謝筆者這篇詳細分析的文章 剛剛在看過去相關的論文,正好提到 SNI 對 CDN on practical censorship evasion 的部份 想說網上找看看現今的部屬狀況,就看到您的這篇文章 實在是太感謝了

也谢谢你来读这篇文章,目前我对国内互联网的隐私问题比较关注,马上会写两篇关于查昂用平台保护隐私的文章

我自己測試 firefox-nightly 73 的結果下,需要把 network.trr.mode 調整成 3 並且需要設定 network.security.esni.enabledtrue (參考文章) 才能通過 esni 檢驗

我也验证了一下这个问题,马上我会修改一下文章,再次感谢

hackerchai commented 4 years ago

@chenIshi

@hackerchai

@chenIshi 感謝筆者這篇詳細分析的文章 剛剛在看過去相關的論文,正好提到 SNI 對 CDN on practical censorship evasion 的部份 想說網上找看看現今的部屬狀況,就看到您的這篇文章 實在是太感謝了

也谢谢你来读这篇文章,目前我对国内互联网的隐私问题比较关注,马上会写两篇关于查昂用平台保护隐私的文章

我自己測試 firefox-nightly 73 的結果下,需要把 network.trr.mode 調整成 3 並且需要設定 network.security.esni.enabledtrue (參考文章) 才能通過 esni 檢驗

刚开始自己配置时候是修改这个选项的,但是写文章时候不小心漏掉了这么重要的部分,为带来的麻烦道歉,再次感谢你的仔细勘误和验证,祝好!

chenIshi commented 4 years ago

請教一下,為什麼儘管使用了 esni 與 dns over https/tls (我看 wireshark 顯示我送出去的包是用 tls),訪問請求還是會被擋下來

  1. 境內 dns 聽說全部都沒有正確的查找,但是根據加密 dns 我看到的確有到 1.1.1.1 的加密流量,所以 dns 查找這步驟應該沒問題
  2. https 本身應該沒有擋端口,本身跟 nsi 也都加密的前提下,怎麼還會被擋下來
hackerchai commented 4 years ago

@chenIshi 請教一下,為什麼儘管使用了 esni 與 dns over https/tls (我看 wireshark 顯示我送出去的包是用 tls),訪問請求還是會被擋下來

  1. 境內 dns 聽說全部都沒有正確的查找,但是根據加密 dns 我看到的確有到 1.1.1.1 的加密流量,所以 dns 查找這步驟應該沒問題
  2. https 本身應該沒有擋端口,本身跟 nsi 也都加密的前提下,怎麼還會被擋下來

首先需要您去确认一下你测试的站点可能不可以在大陆环境顺利访问,我推荐访问的站点是cloudflare的blog

liberty-code commented 4 years ago

请问为什么我完全开启了FireFox的esni+doh,访问上述验证页面还是显示我没开启?

hackerchai commented 4 years ago

@liberty-code 请问为什么我完全开启了FireFox的esni+doh,访问上述验证页面还是显示我没开启?

试下Nightly版本呢

liberty-code commented 4 years ago

@hackerchai

@liberty-code 请问为什么我完全开启了FireFox的esni+doh,访问上述验证页面还是显示我没开启?

试下Nightly版本呢

不可以。。。但是我关掉v2ray代理就行。。。 可是,可是,我已经把 network.trr.enable_when_proxy_detected 和network.trr.enable_when_vpn_detected 都弄成true了呀

liberty-code commented 4 years ago

我的问题和这里的一样:https://www.v2ex.com/t/671813 求博主解答,感激不尽!

hackerchai commented 4 years ago

@liberty-code 我的问题和这里的一样:https://www.v2ex.com/t/671813 求博主解答,感激不尽!

你可以复现一下么? 最好给我看一下Clash For Windows的日志截图/链接截图,看一下DoH走的代理和浏览网页的代理是否一致?

hackerchai commented 4 years ago

@liberty-code

@hackerchai

@liberty-code 请问为什么我完全开启了FireFox的esni+doh,访问上述验证页面还是显示我没开启?

试下Nightly版本呢

不可以。。。但是我关掉v2ray代理就行。。。 可是,可是,我已经把 network.trr.enable_when_proxy_detected 和network.trr.enable_when_vpn_detected 都弄成true了呀

Clash自带的DNS其实很不错的,还可以分流

liberty-code commented 4 years ago

@hackerchai

@liberty-code

@hackerchai

@liberty-code 请问为什么我完全开启了FireFox的esni+doh,访问上述验证页面还是显示我没开启?

试下Nightly版本呢

不可以。。。但是我关掉v2ray代理就行。。。 可是,可是,我已经把 network.trr.enable_when_proxy_detected 和network.trr.enable_when_vpn_detected 都弄成true了呀

Clash自带的DNS其实很不错的,还可以分流

好吧,我和问题里有一点不同:我用的v2ray,问题里用的clash 谢谢啦,我已经解决了,全局代理的时候ESNI是失效的,要在Firefox设置连接那个代理端口才行。