Comments 36
dns.goolge (тут нет опечатки, теперь у знаменитой корпорации появился свой домен первого уровня)
Тут все же опечатка, они конечно dns.google (8.8.4.4).
Спасибо за статью, доступно изложены новые фичи протоколов. Можно брать на вооружение!
eSNI — лишь одна из проблем.
Это все ещё лучше, чем нешифрованный DNS, а если хочется приватности — используем свой личный DNS.
Я вдруг понял, что мне это сломает фильтрацию дома на pi-hole.
This design is not forward secret because the server's ESNI key is
static. However, the window of exposure is bound by the key
lifetime. It is RECOMMENDED that servers rotate keys frequently.
Может клиенты будут добавлять seed/nonce в SNI, может это даже в стандарт внесут (или уже, но я ленивая задница и не прочёл).
Вместо:
Алиса и Мэллори получает один и тот же публичный ключ и шифруют с его помощью SNI, получают один шифротекст и можно использовать его вместо SNI для бана.
Получаем это:
Алиса и Мэллори получает один и тот же публичный ключ и шифруют с его помощью SNI, но Алиса добавляет шум: «telegram.org:::%random_uint%», получая постоянно уникальный шифротекст, который запомнить нельзя, но получатель может расшифровать и убрать шум.
Ну, я так надеюсь, выглядит логично, иначе толку от eSNI и правда мало.
У той же клаудфлары ключи меняются раз в 20-30 мин...
Очень хочется увидеть инструкцию по поднятию собственного DNS-сервера с поддержкой eSNI, дабы "отвязаться" от Google с Cloudflare.
Это ж блин, теперь любая малварь и реклама будет резолвиться безнаказанно :-/
А то, что не зарезалось на ДНС, резать расширениями всякими. Например, если баннеры на том же домене, что и контент, только урл другой.
В следующей части как раз пример будет;)
Многие приложения уже давно используют DOH, например — Telegram.
Теперь самый интересный вопрос: когда же google в chrome включит eSNI? Сейчас они только DOH включают и то, очень аккуратно...
Т.е. eSNI это лишь временная «победа» над РКН как когда-то был IPv6 («специалисты» РКН похоже долго не знали что оно существует)
«Отчего вы не пишите письма на открытках? Вы что-то плохое прячете.»
Поломать возможность клиенту использовать eSNI и жить счастливо. Как вариант?
Если вырезать что то из пакета, то придется пересчитывать все чек суммы, перестраивать пакеты и т.д. а это при большом трафике довольно таки накладно.
Проще уж тогда совсем дропать такие пакеты, но тогда опять мы вернёмся к самой первой картинке в статье.
Здесь важно правильно указать все каталоги, где находится openssl (в нашем случае — это /opt/openssl/) и проследить, чтобы процесс конфигурации прошел без ошибок.
Чего-то не получилось, выдало ошибку:
configure: error: /opt/openssl is a bad --with-ssl prefix!
Домен-фронтинг на базе TLS 1.3