The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Включение ESNI и DNS over HTTPS в Firefox
Включения network.security.esni.enabled=true в about:config недостаточно для
активации в Firefox  TLS-расширения ESNI (Encrypted Server Name Indication),
обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.

На данным момент ESNI не работает без использования встроенного в Firefox
резолвера "DNS over HTTPS" (network.trr.mode = 2). Использовать ESNI
пока можно только при активации "DNS over HTTPS".


Для включения "DNS over HTTPS" в about:config следует изменить значение
переменной network.trr.mode. Значение 0 полностью отключает DoH;
1 - используется DNS или DoH, в зависимости от того, что быстрее; 
2 - используется DoH по умолчанию, а DNS как запасной вариант; 
3 - используется только DoH; 
4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. 

По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через
параметр network.trr.uri, например, можно установить:

* https://dns.google.com/experimental 
* https://cloudflare-dns.com/dns-query 
* https://dns.quad9.net/dns-query (он же https://9.9.9.9/dns-query)
* https://doh.powerdns.org
* https://doh.cleanbrowsing.org/doh/family-filter/ (с родительским контролем)
* https://doh2.dnswarden.com (с родительским контролем)
* https://dns.dnsoverhttps.net/dns-query (проброс запросов через tor)
* https://doh.securedns.eu/dns-query (заявлено об отсутствии ведения логов)
* https://doh.crypto.sx/dns-query (на базе doh-proxy)
* https://doh-de.blahdns.com/dns-query (используется реализация на Go)
* https://dns.dns-over-https.com/dns-query (используется реализация на Go)
* https://commons.host (реализация на Node.js)
 
25.01.2019 , Источник: https://bugzilla.mozilla.org/show_b...
Ключи: esni, doh, dns, https / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Аноним (1), 17:43, 27/01/2019 [ответить] [показать ветку] [····]    [к модератору]
  • +/
    За состоянием поддержки ESNI в Chrome можно смотреть здесь:

    https://crbug.com/908132

    // b.

     
  • 1.2, Kuromi (ok), 21:41, 27/01/2019 [ответить] [показать ветку] [····]    [к модератору]
  • +/
    Да работает ли оно реально-то?
    У меня включен esni и doh - https://www.cloudflare.com/ssl/encrypted-sni/ все равно говорит что esni не включен.
     
     
  • 2.3, Аноним (3), 21:52, 27/01/2019 [^] [ответить]    [к модератору]
  • +/
    restart the browser

    // b.

     
     
  • 3.4, Kuromi (ok), 22:06, 27/01/2019 [^] [ответить]    [к модератору]
  • +/
    Аж сотню раз уже. И ничего.
     
     
  • 4.6, Аноним (3), 02:34, 28/01/2019 [^] [ответить]    [к модератору]
  • +/
    В официальном Firefox 64.0.2: https://imgur.com/a/GBhczFL
     
  • 4.9, Онанимус (?), 12:03, 28/01/2019 [^] [ответить]    [к модератору]  
  • +/
    У Вас что установлено в network.trr.uri? Нужно https://cloudflare-dns.com/dns-query - тогда esni покажет. А так он не понимает.
     
     
  • 5.13, Kuromi (ok), 02:43, 29/01/2019 [^] [ответить]    [к модератору]  
  • +/
    То что по умолчанию - https://mozilla.cloudflare-dns.com/dns-query
     
  • 4.10, AnonESNI (?), 12:16, 28/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Работает - https://i.imgur.com/kfb8ll4.png
    В network.security.esni.enabled поставить true
    + вкл. это - https://i.imgur.com/aYDdCVK.png
    Даже выходить из браузера не надо.
     
  • 3.15, Kuromi (ok), 02:52, 29/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > restart the browser
    > // b.

    Честно говоря дичь какая-то. У меня если network.trr.mode поставить в 3 (только DOH) тупо не резолвиться вообще ничего. Возможно в Ночнушке все опять нахрен сломали, лол.


    АХ ВОТ ОНО ЧТо - https://isitblockedinrussia.com/?host=mozilla.cloudflare-dns.com

    Decision 2-946/13 made on 2013-06-10 by суд.

    This block affects IP 104.16.248.249 and domain ineedusersmore.net.

    Я и забыл что живу в Смехдержаве. IP заблокирован давно протухшим решением суда, а всем до лампочки...

     
     
  • 4.16, Аноним (-), 14:43, 29/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Попробуйте подставить в network.trr.bootstrapAddress значение 1.1.1.1
     
     
  • 5.19, Kuromi (ok), 17:44, 29/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Попробуйте подставить в network.trr.bootstrapAddress значение 1.1.1.1

    А вот теперь заработало, спасибо.

     
  • 1.5, Onanon (?), 23:47, 27/01/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • +3 +/
    > На данным момент ESNI не работает без использования встроенного в Firefox

    резолвера "DNS over HTTPS"

    Какой идиотизм, б-же. ESNI ок, но зачем мне чёртов DOH?

     
     
  • 2.8, Anonymous_ (?), 07:13, 28/01/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    > Какой идиотизм,

    Да, этого у тебя не отнять. Что есть, то есть.

    > ESNI ок, но зачем мне чёртов DOH?

    А зачем тебе eSNI без DoH?

    А тут ты такой выбегаешь и не задумываясь, как обычно, говоришь: "А у меня есть DoT!".

     
     
  • 3.12, Onanon (?), 18:53, 28/01/2019 [^] [ответить]    [к модератору]  
  • +/
    >> ESNI ок, но зачем мне чёртов DOH?
    > А зачем тебе eSNI без DoH?

    А тебе какое дело, умник? Объясни лучше, зачем мне DOH.

    > А тут ты такой выбегаешь и не задумываясь, как обычно, говоришь: "А
    > у меня есть DoT!".

    DOT решает ту же проблему, что и DOH, да. При этом, это гораздо менее уродливое и костыльное решение. Но ты энивэй не угадал - я шифрую DNS запросы с тех пор, когда это ещё не было мэйнстримом - у меня TorDNS и локальный резолвер. Жрите сами свой DOH, школота...

     
     
  • 4.20, Anonymous_ (?), 05:32, 30/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    > Объясни лучше, зачем мне DOH.
    > ...
    > DOT решает ту же проблему, что и DOH, да. При этом, это гораздо менее уродливое и костыльное решение.

    Включи уже наконец в работу свой межушный гaнглий.

    Нет ничего проще, чем перекрыть DoT. А вот с DoH это сделать уже сложнее.

    > у меня TorDNS и локальный резолвер. Жрите сами свой DOH, школoтa...

    Вот это тебя и характеризует как типичное параноидальное шкoлoло.

    У меня дома DoT на unbound-е построен, но я ещё и через 4G/LTE с андроидного смартфона иногда в тырнеты хожу.
    Вот для этого мне и нужен DoH, на тот случай, когда апстрим провайдер перекроет DoT.

     
     
  • 5.21, Onanon (?), 18:19, 30/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Включи уже наконец в работу свой межушный гaнглий.

    Не хами.

    > Нет ничего проще, чем перекрыть DoT.

    1) Я не использую DoT.
    2) Блокировать DNS можно и без DoT, но никто этого не делает. Зачем, если можно блочить сами сайты? Что DoT, что DoH пытается решить только одну проблему: гарантировать, что DNS-сервер вернул там то, что мы хотели узнать. Всё.

    > А вот с DoH это сделать уже сложнее.

    Рассказать тебе, как забанить DoH? Берёшь и режешь все запросы по https к серверам из ОП-поста. Что? Анинаэто не пойдут? Ну-ну, вспомни ковровые блокировки, когда телеграм начали банить.
    Ооооочень сложно, просто рокет сайенс, ага.

    > Вот это тебя и характеризует как типичное параноидальное шкoлoло.

    Это меня характеризует как человека, который использует полноценные решения, вместо г-на для смузихлёбов.

    > У меня дома DoT на unbound-е построен, но я ещё и через 4G/LTE с андроидного смартфона иногда в тырнеты хожу.
    > Вот для этого мне и нужен DoH, на тот случай, когда апстрим провайдер перекроет DoT.

    Судя по тому, что ты написал и по хамскому стилю твоих сообщений, DoH тебе нужен, чтобы на форумах хвалиться и самоутверждаться. Диджитол резистансе, да?

     
     
  • 6.22, Anonymous_ (?), 21:02, 30/01/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    Попытки провайдеров перенаправлять запросы на собственный DNS ранее уже были зам... текст скрыт, показать
     
     
  • 7.23, Onanon (?), 21:29, 30/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Зачем ты тогда вообще напрягаешься Ну давай, расскажи мне, в чём тогда смысл за... текст скрыт, показать
     
     
  • 8.24, Аноним (24), 09:22, 31/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > Ну всё, ты меня уделал окончательно!

    А разве нет? С середины поста ты показываешь неспособность ответить аргументированно.

     
  • 8.25, Anonymous_ (?), 17:50, 31/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Так в моей стране тоже пытаются регулировать интернет Просто не так по-идиотс... текст скрыт, показать
     
  • 2.14, Kuromi (ok), 02:45, 29/01/2019 [^] [ответить]    [к модератору]  
  • +/
    >> На данным момент ESNI не работает без использования встроенного в Firefox
    > резолвера "DNS over HTTPS"
    > Какой идиотизм, б-же. ESNI ок, но зачем мне чёртов DOH?

    Из того что обсуждалось на эту тему в Багзилле - решение скорее "политическое" чем техническое. Мозилла считает, что без DOH фича не будет достаточно эффективной.

     
  • 2.17, Аноним (-), 14:52, 29/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Действительно!
    И этот их сайт https://www.cloudflare.com/ssl/encrypted-sni полная профанация
    Ведь Firefox не выполняет проверку DNSSEC - для него это просто мусор, а все аддоны, которые этим занимались, "как" по указке все разом стали вдруг несовместимыми с новыми релизами...
    То есть проверку типа сделали за нас, и просто вывели зелёную галочку? Как удобно!
    Тогда уж лучше https://9.9.9.10/dns-query использовать, чтобы не было иллюзий безопасности...
     
     
  • 3.18, Аноним (-), 14:55, 29/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Это уже не говоря об security.tls.enable_0rtt_data и прочих "улучшениях" во благо народа!
    Сбасибо Cloudflare что заботишься о нас!
     
  • 3.27, Аноним (27), 01:14, 03/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Специализд, DNSSEC не для браузера, и проверять он ничего не должен. Господи жги.
     
     
  • 4.28, Аноним (28), 19:35, 05/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Проверять должен резольвер. Но в случае DoH резольвером является сам браузер.
     
  • 1.7, Anonymous_ (?), 07:00, 28/01/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • –1 +/
    У меня в андроидной версии Firefox-а DoH и eSNI уже месяца с полтора-два работает. Причём используется опция "3" (DoH only).
     
  • 1.26, samm (ok), 17:06, 01/02/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    отличная заметка, спасибо!
     
  • 1.29, microcoder (ok), 09:37, 10/03/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    После восстановления системы (Manjaro Linux) из Hibernate, открытая сессия Firefox не может резолвить в режиме network.trr.mode=3 (only DoH). После перезагрузки Firefox всё работает. Почему? Как исправить, чтобы не перезапускать Firefox?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:



    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру
    Hosting by Ihor