CyberBeaver – консультации по цифровой безопасности

Вытворцы браўзераў (Chrome 117 ужо, а Firefox крыху пазьней) рэалізавалі тэхналогіі, якія дазваляюць адчыніць заблакаваныя сайты з Беларусі без VPN і дадаткаў

Які патрабаванні мусяць быць выкананыя, каб заблакаваны сайт зараз адчыніўся з Беларусі:
🔺у наведвальнікаў мусіць быць усталяваны Google Chrome 117 ці пазнейшай версіі,
🔺сайт мусіць быць абаронены Cloudflare і мець бясплатны (free) план,

Напрыклад, сайт https://humanconstanta.org так адчыняецца з Беларусі.

Як гэта працуе?

Калі вы падлучаліся да сайта праз зашыфраванае злучэнне ў 90я, то вы запытвалі сістэму DNS які айпішнік абслугоўвае сайт, а далей спрабавалі зрабіць зашыфраванае падлучэнне да гэтага айпішніка. Грукаліся да яго, і ён выдаваў свой сертыфікат (публічны ключ). Далей вы шыфравалі сваё злучэнне гэтым публічным ключом і правайдэр бачыў да якога айпішніка вы падлучыліся, але не бачыў, да якога менавіта сайта. Ну насамрэч усё адно бачыў, бо вы толькі што гэты сайт праз DNS запытвалі 😄

Далей апынулася, што адзін сервер = адзін айпішнік = адзін сайт, не атрымліваецца — сайтаў стала шмат і на адным айпішніку часам вісяць сотні і нават тысячы сайтаў. Як серверу даведацца які сертыфікат ці публічны ключ даць наведнікам? На той момант — ніяк, таму прыдумалі дадатак да пратакола шыфраваньня SNI (Server Name Indication), і серверы і браўзеры навучыліся яе падтрымліваць. Зараз амаль кожны сайт, на які вы заходзіце праз зашыфраваны пратакол HTTPS — не адзін на тым айпі адрасе, таму карыстаецца тэхналогіяй SNI, калі вы яго адчыняеце. Тэхналогія ў тым, што пры спробе ўсталяваць зашыфраванае злучэнне з серверам — ваш браўзер у незашыфраваным выглядзе кажа серверу назву сайта да якога вы хочаце падлучыцца. Сервер тады выбірае патрэбны сертыфікат (публічны ключ) і дае вам, і вы шыфруеце злучэнне.

Але ж цяпер правайдэр можа з дапамогай DPI (Deep packet inspection) бачыць гэтую незашыфраваную частку і скідаць ўсе злучэнні да сайта.. Ну ці ў багатых краінах проста занатоўваць на якія менавіта сайты/дамены ходзяць наведнікі, каб сачыць за карыстальнікамі і прадаваць гэтыя звесткі кампаніям.

Каб нешта з гэтым зрабіць ўжо некалькі год ішла распрацоўка тэхналёгіі, якая дазваляе схаваць назву сайта ад правайдэра (і ўсіх пасярэднікаў), нават калі зашыфраванае злучэнне яшчэ не ўсталяванае — eSNI (encrypted SNI). Па-выніку яе крыху перарабілі і ў канчатковым выглядзе яна цяпер называецца ECH (Encrypted Client Hello) — як гэта працуе ў тэхнічным плане можаце пачытаць тут.

І вось літаральна на днях, Google Chrome зрабіў падтрымку гэтай тэхналогіі для свайго браўзера пачынаючы з версіі 117, а Cloudflare сканфігуравалі падтрымку для ўсіх сайтаў, якія яны абараняюць бясплатна — такім чынам, што цяпер гэты цуд працуе без анікіх дадатковых целарухаў!

А як жа DNS? DoH!

Добрае пытаньне! А сучасныя браўзеры нядаўна якраз навучыліся рэзолвіць DNS не старым спосабам, дзе правайдэр амаль заўжды бачыць і ваш запыт (на які сайт вы хочаце пайсьці) і адказ сервера (які айпішнік у гэтага сайта) і можа спрабаваць ці перашкаджаць такой камунікацыі, ці замяняць DNS адказ на нейкі іншы (DNS spoofing). Сучасныя браўзеры рэалізавалі падрымку тэхналогіі DNS over HTTPS (DoH), і цяпер у правайдэр ня бачыць ад якіх сайтаў карыстальнікі спрабуюць даведацца IP адрэсы (але самі айпі адрэсы — бачыць, хаця паспрабуй даведацца што на гэтым адрасе Amazon AWS — добры сайт ці кепскі).

Такім чынам, калі ў вашага браўзера добра працуе і DoH і ECH (а гэта звычайны Chrome версіі 117 ці вышэй) + у сайта, на які вы спрабуеце патрапіць, таксама карэктна сканфігураваны ECH — патрапіць на сайт атрымаецца нават, калі раней DPI гэтаму перашкаджаў!

Калі вы ўладальнік сайту абароненага Cloudflare і хочаце ўключыць ECH:
🔺калі ў вас Free план то яна ўжо ўключаная,
🔺калі ў вас іншы, то вам трэба зайсьці ў SSL/TLS — Edge certificates — Encrypted ClientHello (ECH) — Apply і пачакаць, пакуль тэхналогію актывізуюць для вашага сайта

Падрабязней: https://blog.cloudflare.com/announcing-encrypted-client-hello/

Дапаўненне: наступны пост.

@cyberbeaver
Навігацыя па інструкцыях | Напісаць у бот | Падпісацца на Instagram

www.tgoop.com/cyberbeaver/429

1.1K viewsedited  Oct 11, 2023 at 07:46

Вытворцы браўзераў (Chrome 117 ужо, а Firefox крыху пазьней) рэалізавалі тэхналогіі, якія дазваляюць адчыніць заблакаваныя сайты з Беларусі без VPN і дадаткаў

Які патрабаванні мусяць быць выкананыя, каб заблакаваны сайт зараз адчыніўся з Беларусі:
🔺у наведвальнікаў мусіць быць усталяваны Google Chrome 117 ці пазнейшай версіі,
🔺сайт мусіць быць абаронены Cloudflare і мець бясплатны (free) план,

Напрыклад, сайт https://humanconstanta.org так адчыняецца з Беларусі.

Як гэта працуе?

Калі вы падлучаліся да сайта праз зашыфраванае злучэнне ў 90я, то вы запытвалі сістэму DNS які айпішнік абслугоўвае сайт, а далей спрабавалі зрабіць зашыфраванае падлучэнне да гэтага айпішніка. Грукаліся да яго, і ён выдаваў свой сертыфікат (публічны ключ). Далей вы шыфравалі сваё злучэнне гэтым публічным ключом і правайдэр бачыў да якога айпішніка вы падлучыліся, але не бачыў, да якога менавіта сайта. Ну насамрэч усё адно бачыў, бо вы толькі што гэты сайт праз DNS запытвалі 😄

Далей апынулася, што адзін сервер = адзін айпішнік = адзін сайт, не атрымліваецца — сайтаў стала шмат і на адным айпішніку часам вісяць сотні і нават тысячы сайтаў. Як серверу даведацца які сертыфікат ці публічны ключ даць наведнікам? На той момант — ніяк, таму прыдумалі дадатак да пратакола шыфраваньня SNI (Server Name Indication), і серверы і браўзеры навучыліся яе падтрымліваць. Зараз амаль кожны сайт, на які вы заходзіце праз зашыфраваны пратакол HTTPS — не адзін на тым айпі адрасе, таму карыстаецца тэхналогіяй SNI, калі вы яго адчыняеце. Тэхналогія ў тым, што пры спробе ўсталяваць зашыфраванае злучэнне з серверам — ваш браўзер у незашыфраваным выглядзе кажа серверу назву сайта да якога вы хочаце падлучыцца. Сервер тады выбірае патрэбны сертыфікат (публічны ключ) і дае вам, і вы шыфруеце злучэнне.

Але ж цяпер правайдэр можа з дапамогай DPI (Deep packet inspection) бачыць гэтую незашыфраваную частку і скідаць ўсе злучэнні да сайта.. Ну ці ў багатых краінах проста занатоўваць на якія менавіта сайты/дамены ходзяць наведнікі, каб сачыць за карыстальнікамі і прадаваць гэтыя звесткі кампаніям.

Каб нешта з гэтым зрабіць ўжо некалькі год ішла распрацоўка тэхналёгіі, якая дазваляе схаваць назву сайта ад правайдэра (і ўсіх пасярэднікаў), нават калі зашыфраванае злучэнне яшчэ не ўсталяванае — eSNI (encrypted SNI). Па-выніку яе крыху перарабілі і ў канчатковым выглядзе яна цяпер называецца ECH (Encrypted Client Hello) — як гэта працуе ў тэхнічным плане можаце пачытаць тут.

І вось літаральна на днях, Google Chrome зрабіў падтрымку гэтай тэхналогіі для свайго браўзера пачынаючы з версіі 117, а Cloudflare сканфігуравалі падтрымку для ўсіх сайтаў, якія яны абараняюць бясплатна — такім чынам, што цяпер гэты цуд працуе без анікіх дадатковых целарухаў!

А як жа DNS? DoH!

Добрае пытаньне! А сучасныя браўзеры нядаўна якраз навучыліся рэзолвіць DNS не старым спосабам, дзе правайдэр амаль заўжды бачыць і ваш запыт (на які сайт вы хочаце пайсьці) і адказ сервера (які айпішнік у гэтага сайта) і можа спрабаваць ці перашкаджаць такой камунікацыі, ці замяняць DNS адказ на нейкі іншы (DNS spoofing). Сучасныя браўзеры рэалізавалі падрымку тэхналогіі DNS over HTTPS (DoH), і цяпер у правайдэр ня бачыць ад якіх сайтаў карыстальнікі спрабуюць даведацца IP адрэсы (але самі айпі адрэсы — бачыць, хаця паспрабуй даведацца што на гэтым адрасе Amazon AWS — добры сайт ці кепскі).

Такім чынам, калі ў вашага браўзера добра працуе і DoH і ECH (а гэта звычайны Chrome версіі 117 ці вышэй) + у сайта, на які вы спрабуеце патрапіць, таксама карэктна сканфігураваны ECH — патрапіць на сайт атрымаецца нават, калі раней DPI гэтаму перашкаджаў!

Калі вы ўладальнік сайту абароненага Cloudflare і хочаце ўключыць ECH:
🔺калі ў вас Free план то яна ўжо ўключаная,
🔺калі ў вас іншы, то вам трэба зайсьці ў SSL/TLS — Edge certificates — Encrypted ClientHello (ECH) — Apply і пачакаць, пакуль тэхналогію актывізуюць для вашага сайта

Падрабязней: https://blog.cloudflare.com/announcing-encrypted-client-hello/

Дапаўненне: наступны пост.

@cyberbeaver
Навігацыя па інструкцыях | Напісаць у бот | Падпісацца на Instagram

BY CyberBeaver – консультации по цифровой безопасности