web-dev-qa-db-ja.com

SNIを無効にする機能を備えた最新のブラウザー

TLSのSNI( サーバー名表示 )拡張機能を無効にできる最新のクライアントブラウザーがあるかどうかを知りたいです。

サーバー名が プレーンテキスト で送信されるため、ISPがSNI機能に応じて一部のHTTPSWebサイトをブロックしているように見えるので知りたいです。

このペーパー より多くの洞察を提供しますが、SNIベースのフィルタリングを無効にするツールは時代遅れです。

(注:VPNだけを使用できることはわかっています。SNIを使用しないと、多くのWebサイトが機能しないことを知っています。さらに、SNIがなかった古い古いブラウザをインストールしたくありません。例:Firefox1.5またはchrome 5.7)

google-chromefirefoxbrowserfirewallblocking
7
Sourav Ghosh

最近、Firefoxは実験的な機能として [〜#〜] esni [〜#〜] のサポートを追加しました。これは、それをサポートするサイト(TLS1.3経由)では、ブラウザーがハンドシェイク中に暗号化されたサーバー名を送信することを意味します。

Cloudflareの背後にあるサイトの多くは現在それをサポートしています(ただし、まだtls1.2を使用しているサイトもあります)。

(残念ながら)現在、FirefoxのESNIは DoH とペアになっています。つまり、ブラウザで trr も有効にする必要があります。 こちらをご覧ください

FirefoxでESNIを有効にするには:

  • about:config

    • network.trr.mode: 2

    • network.trr.uri: https://dns.google/dns-query(デフォルトではうまくいきませんでした)

    • network.security.esni.enabled: true

  • 再起動

  • ブラウザでESNIが有効になっているかどうかを確認します: https://www.cloudflare.com/ssl/encrypted-sni/

  • アクセスするサイトがtls1.3をサポートしているかどうかを確認します(その場合、esniもサポートする可能性が高くなります): https://www.cdn77.com/tls-test

  • いくつかのリクエストをする

  • about:networking#dns

    • リクエストがESNIを使用しているかどうかを確認できます
3
Marinos An