Forum Debian Users Gang

wiarus · 2021-07-28 18:16:38

Witam wszystkich, bardzo serdecznie, 1szy post. (Jeśli jest to zły dział, to przepraszam).

Przez kilka ostatnich tygodni nie miałem dostępu do komputera, dlatego chciałbym zapytać o dwie opcje dostępne w Firefoksie. O ile dobrze pamiętam wsparcie dla 'ESNI' zostało usunięte w wersji 85.

Podobno wielu użytkowników nie było zadowolnych z tej decyzji. Wiem, że wersja 88.0 posiada opcje 'network.security.esni.enabled' (przywrócono 'ESNI'?) oraz dwie dotyczące 'ECH' (są to 'network.dns.echconfig.enabled', 'network.dns.use_https_rr_as_altsvc' domyślnie wyłączone).

Jakiś czas temu, skonfigurowałem 'Local DoH' korzystając z doskonałego tekstu kolegi z forum - Morfika (mówię tu o tekście "Jak włączyć w Firefox ESNI (Encrypted SNI)"). Okazało się, że u mnie Encrypted SNI nie jest wspierane przez przeglądarkę, według testu ze strony Browsing Experience Security Check.

Sprawdzałem różne warianty: (i) 'ESNI' włączone a 'ECH' wyłączone, (ii) 'ESNI' oraz 'ECH' włączone. Ma ktoś z Was pomysł, dlaczego wynik jest właśnie taki? Przy okazji: mam prośbę do Was, którzy korzystacie z najnowszej wersji Firefoksa 90 - możecie sprawdzić w about:config czy 'ESNI' i 'ECH' są ciągle dostępne?

I na koniec - jeżeli te opcje są ciągle wspierane to dobrym pomysłem jest włączenie obu? Np. domena wspierająca 'ESNI' wykorzysta to, a inna wspierająca 'ECH' skorzysta z tego rozszerzenia. Co o tym myślicie?

Pozdro.

P.S. Morfik w swoim tekście pominąłeś opcję 'network.trr.mode' opisując konfigurację w DNSCrypt-Proxy, dlaczego? Chodziło o to, że zmiana wcześniej opisana (wykorzystanie Firefoksa i tzw. TRR) wystarczy? Opcja 'network.trr.uri' jest zbędna? Uważasz, że wystarczy po dodaniu własnego Certyfikatu, wspisanie własnego adresu/ścieżki w ustawieniach sieci, włączając DoH?

P.S. 2: jeżeli dobrze pamiętam, Debian używa adresu 127.0.2.1. Czy konfigurując 'Local DoH' trzeba użyć właśnie tego adresu czy może to być 127.0.0.1 użyty w twoim tekście?

Ostatnio edytowany przez wiarus (2021-08-26 11:05:27)

morfik · 2021-07-28 19:42:05

U mnie też FF nie przechodzi testu na ESNI niby z włączonym network.security.esni.enabled i ustawionym własnym proxy do dnscrypt. Może coś pozmieniali i coś się popsuło. Jedyne co mogę powiedzieć, to to, że to info opisane w tamtym artykule nie daje już takiego rezultatu jak na fotkach tam zamieszczonych — patrzyłem w wireshark i domena jest widoczna, czyli coś musieli pochrzanić. Pytanie kto, CF czy FF? xD

Ta opcja network.trr.uri jest opisana, tj. ustawiona jest przez GUI. Więc możesz albo przez GUI albo ręcznie przez about:config.

P.S. 2: jeżeli dobrze pamiętam, Debian używa adresu 127.0.2.1. Czy konfigurując 'Local DoH' trzeba użyć właśnie tego adresu czy może to być 127.0.0.1 użyty w twoim tekście?

Ale do czego używa tego adresu?

wiarus · 2021-07-29 08:10:16

Cześć Morfik.

Dzięki za odpowiedź. Z tego, co pamiętam to w przypadku Firefoksa było zamieszanie, kiedy usunęli ESNI w wersji 85. I z tego co pamiętam w wersji 88 była ta opcja dostępna (podobnia jak dla ECH). Morfik możesz sprawdzić, czy opcje dla ESNI i ECH są dostępne w obecnej wersji Firefoksa, chyba jest to 90? Jeśli są to jest sens włączenia obu? Co o tym myślisz?

"Ta opcja network.trr.uri jest opisana, tj. ustawiona jest przez GUI. Więc możesz albo przez GUI... - wiem, właśnie przez GUI dodałem potrzebny adres.

Sorry, nie dopisałem o co chodzi - czy czasem Debian nie używa adresu 127.0.2.1 po zainstalowaniu DNSCrypt-Proxy? Przy okazji: jeśli ten adres jest używany i korzystamy z socketów systemd, to konfigurując 'Local DoH' adres powinien być 127.0.0.1 (jak w Twoim arcie) czy mogą być różne: 127.0.2.1 dla DNSCrypt i 127.0.0.1 dla 'Local DoH'? Ma to jakieś znaczenie?

I jeszcze jedno: włączają 'Local DoH', Cloudflare nie musi być jedynym serwerem (chociaż ze względu na ESNI wydaje się najodpowiedniejszy), prawda? Można użyć dowolnego serwera/ów bo ESNI/ECH będzie "tolerowane" przez Firefoksa właśnie dzięki 'Local DoH'?

Wiesz, dziwne jest to że mając włączone ESNI domena jest widoczna, chodzi mi o Twoje testy z Wiresharkiem. Sprawdzałeś ECH?

Dzięki, pozdro.

Ostatnio edytowany przez wiarus (2021-07-29 08:37:40)

urbinek · 2021-07-29 09:11:02

wiarus napisał(-a):
Cześć Morfik.
Sorry, nie dopisałem o co chodzi - czy czasem Debian nie używa adresu 127.0.2.1 po zainstalowaniu DNSCrypt-Proxy? Przy okazji: jeśli ten adres jest używany i korzystamy z socketów systemd, to konfigurując 'Local DoH' adres powinien być 127.0.0.1 (jak w Twoim arcie) czy mogą być różne: 127.0.2.1 dla DNSCrypt i 127.0.0.1 dla 'Local DoH'? Ma to jakieś znaczenie?

Zwyczajowo localhost jest ustawiony dzięki hosts na 127.0.0.1, natomiast należy pamiętać, że zgodnie z RFC 3330 cała klasa adresowa 127.0.0.0/8 jest zarezerwowana dla komunikacji z lokalnym stosem sieciowym

morfik · 2021-07-29 13:42:18

Ja mam póki co FF v.88.0.1-1 .

Domyślnie w dnscrypt-proxy.socket masz:

Kod:

ListenStream=127.0.2.1:53
ListenDatagram=127.0.2.1:53

Więc 127.0.2.1 , bo ten socket ma tylko na celu wystartowanie usługi dnscrypt i przekazanie jej pakietów, co sprawia, że appka nie potrzebuje kilku dość zaawansowanych praw dostępu, np. CAP net_bind_service.

I jeszcze jedno: włączają 'Local DoH', Cloudflare nie musi być jedynym serwerem (chociaż ze względu na ESNI wydaje się najodpowiedniejszy), prawda? Można użyć dowolnego serwera/ów bo ESNI/ECH będzie "tolerowane" przez Firefoksa właśnie dzięki 'Local DoH'?

Powinno.

Wiesz, dziwne jest to że mając włączone ESNI domena jest widoczna, chodzi mi o Twoje testy z Wiresharkiem. Sprawdzałeś ECH?

Sprawdziłem to ustawienie, które miałem od momentu napisania artykułu. Nic nie zmieniałem sam z siebie, i wtedy działało, a teraz nie. xD

Ostatnio edytowany przez morfik (2021-07-29 13:42:44)

wiarus · 2021-07-29 15:12:23

Cześć.

Urbinek a więc taka konfiguracja jest w porządku - 127.0.2.1 ogólnie dla DNSCrypt-Proxy a w przypadku 'Local DoH', jak w arcie Morfika, 127.0.0.1?

Właśnie, Morfik korzystając z socketów systemd, nie trzeba dodawać np. reguły `net_bind_service` do profilu AppArmor oraz korzystać z opcji user_name, prawda? (W przypadku wyłączenia socketów, trzeba wprowadzić te zmiany).

A tak przy okazji - korzystacie np. tylko z serwerów DNSCrypt albo tylko DoH czy może "mieszacie" wszystkie, jakie są dostępne w pliku public-resolvers.md? A jeszcze wracając do ESNI - z tego, co pamiętam na stronie Wiki (GitHub) jest napisane, że DNSCrypt jest kompatybilny z tym rozszerzeniem i nie trzeba nawet używać protokołu DoH i Cloudflare. A przecież Firefox ignoruje ESNI jeżeli DoH nie jest włączone w przeglądarce (stąd mechanizm 'Local DoH'). Sam już nie wiem...

Chyba pozostaje mieć nadzieję, że - po skonfigurowaniu 'Local DoH' z Cloudflare, jak najwięcej stron www, które zostaną odwiedzone będzie wspierało ESNI/ECH, będzie korzystać z TLS 1.3 itd. :- )

Pozdro.

Ostatnio edytowany przez wiarus (2021-07-29 15:13:00)

morfik · 2021-07-29 16:39:57

Właśnie, Morfik korzystając z socketów systemd, nie trzeba dodawać np. reguły `net_bind_service` do profilu AppArmor oraz korzystać z opcji user_name, prawda? (W przypadku wyłączenia socketów, trzeba wprowadzić te zmiany).

No tak mam napisane w swoim profilu. xD

A tak przy okazji - korzystacie np. tylko z serwerów DNSCrypt albo tylko DoH czy może "mieszacie" wszystkie, jakie są dostępne w pliku public-resolvers.md?

Ja korzystam póki co tylko z CF.

Chyba pozostaje mieć nadzieję, że - po skonfigurowaniu 'Local DoH' z Cloudflare, jak najwięcej stron www, które zostaną odwiedzone będzie wspierało ESNI/ECH, będzie korzystać z TLS 1.3 itd. :- )

TLS 1.3 jest do dupy. W następnej wersji mają zaadresować ten problem z SNI ale kiedy wypuszczą, to nikt nie wie. Póki co google ze swoim QUIC się przebija i chyba on zastąpi TLS.

morfik · 2021-07-31 17:38:34

Wygląda na to, że ESNI jest już przestarzałe i firefox przeszedł (albo przechodzi) na ECH (Encrypted Client Hello) i cały ten mechanizm ESNI zostanie zastąpiony przez ECH. Dlatego ta strona CF chyba już nigdy nie będzie zwracać na FF, że ESNI jest wspierane, bo już nie będzie, no chyba, że na FF ESR. xD

Tu do poczytania trochę więcej:
https://bugzilla.mozilla.org/show_bug.cgi?id=1667801

Ostatnio edytowany przez morfik (2021-07-31 17:50:29)

wiarus · 2021-08-11 18:02:40

Hej.

Sorry za długi czas bez odpowiedzi. Wiesz, morfik ostatnio miałem możliwość sprawdzić Firefoksa w wersji 90.0.2
i okazało się że ESNI jest ciągle dostępne a miało być usunięte w wersji 85.

Ale, pamiętam że użytkownicy mieli wiele obiekcji w stosunku do tej decyzji, więc może przywrócili? Oczywiście ECH też jest dostępne. W zasadzie było/jest w obu wspomnianych wersjach.

Skoro, deweloperzy Firefoksa zdecydowali się zostawić ESNI, to chyba włączenie obu tych "technologii" nie powinno nastręczać problemów? Jeśli dany serwer wspiera ESNI, to powinno zostać wykorzystane. Jeśli natomiast jest wsparcie dla ECH, to również nie powinno być problemów, ale sytuacja jest trochę inna, ponieważ potrzebne jest jeszcze TLS 1.3 itp.

Morfik, korzystasz z obu tych rozwiązań: ESNI, ECH? To znaczy, czy masz włączone w przeglądarce poprzez about:config? Co myślisz o włączeniu obu wymienionych opcji?

Chciałbym jeszcze dodać, że zauważyłem coraz więcej stron WWW, korzystających z TLS 1.3 - ostatnio sprawdziłem kilka i 3/5 miało włączone właśnie tą wersję.

Pozdrawiam.

Ostatnio edytowany przez wiarus (2021-08-11 18:05:23)

morfik · 2021-08-12 01:45:15

Niby mam włączone oba (ESNI i ECH) ale to FF ma jakieś problemy i chyba nie do końca oni wiedzą co tam robią. ESNI wyleci tak czy inaczej, bo jest to lekka patologia, dlatego trwają prace nad ECH, choć i tak potrzebny jest nowszy TLS, bo ten 1.3 ma błędy konstrukcyjne i dlatego takie problemy są z tym SNI.

Ostatnio edytowany przez morfik (2021-08-12 01:49:09)

wiarus · 2021-08-12 11:56:43

Hej. Ja też mam włączone ESNI/ECH. Zgadza się, ESNI zostanie usunięte bo w sumie nie spełniło założeń. ECH szyfruje chyba pełny Client Hello - ESNI tylko rozszerzenie TLS jakim jest SNI, co nie zapewnia pełnej prywatności/ochrony, dlatego ta zmiana. Zresztą, nieważne.

Hmm, ale TLS 1.3 jest zdecydowanie lepszy od TLS 1.2. W każdym razie, ciekawe, w jaką stronę to wszystko pójdzie. Szczerze mówiąc, nie wiedziałem o błędach, które wspomniałeś.

Dzięki, pozdrawiam.

morfik · 2021-08-12 15:21:20

1.3 od 1.2 może i jest lepszy ale 1.3 miał w założeniu adresować problemy z prywatnością, które były w 1.2, a tego nie zrobił. Dlatego 1.3 jest w zasadzie podobny do 1.2 i potrzebne jest 1.4, a ten idzie jak krew z nosa właśnie przez te ograniczenia w TLS. I potrzebne jest coś innego.

Ostatnio edytowany przez morfik (2021-08-12 15:25:19)

Fryc · 2021-08-20 16:45:43

To ja sie wtrace z pewna ciekawostka:
Ta sama wersja Firefox 78.13.0 z tymi samymi ustawieniami majacymi za zadanie zalaczyc to ESNI
Na Debian Buster usb Live ESNI dziala kontrolka na zielono
Na Debian Bullseye zainstalowanym normalnie ESNI nie dziala kontrolka na czerwono.

Badz tu mundry ;-)

Chyba ze cos tam zrobilem kiedys o czyms nie pamietam ale malo prawdopodobne.

mark · 2021-08-20 20:42:00

Niech i ja się dorzucę...
Firefox v.78.13.0esr i u mnie test https://www.cloudflare.com/ssl/encrypted-sni/ działa 4x zielono

Jedyne co dziwi- test "Secure DNS", prawie zawsze przy pierwszym jego uruchomieniu jest nieszyfrowany, a powtórne lub nawet i konieczne kolejne ponowienie dopiero potwierdza szyfrowanie. Dlaczego nie natychmiast...?
Ale i przeglądarka Google-Chrome powiela identycznie ten schemat, bez ESNI oczywiście.

morfik · 2021-08-20 23:00:33

Na ESR pewnie działa bo tam raczej niewiele zmieniają. xD

Trzeba by do mozilli napisać i zapytać wtf, ja tam nie wiem ale to nie jest wiarygodny mechanizm i może temu sobie dali siana. xD

wiarus · 2021-08-25 17:47:22

Hej.

mark, Fryc w waszym przypadku ESNI jest włączone wg. testu Cloudflare
bo użuywacie Firefoxa w wersji ESR, w której ESNI ma być wspierane.

Jak już pisałem to w wersji 85. mieli to usunąć, ale wygląda na to, że np. w 90. też była
dostępna opcja do włączenia ESNI. Myślę że w teraz, kiedy jest dostępne
ESNI i ECH warto włączyć obie opcje. Dopiero, kiedy ESNI zostanie
porzucone na dobre można będzie zostawić ECH.

A jeśli chodzi o wynik "Secure DNS", to u mnie też często za pierwszym razem nie
wskazywał poprawnej wartości. Czasem nawet po kilku przeładowaniach strony, powtórzeniu testu.

A tak przy okazji - morfik w artykule dotyczącym włączania ESNI
wspomniałeś o zmianie właściciela dla pliku localhost.pem. Po tej zmianie, jako grupa
ustawiony jest root.

Czy myślisz, że dobrym pomysłem jest zmiana tej grupy na nogroup?
Tylko pamiętam, że w którymś miejscu manuala Debiana (https://www.debian.org/doc/manuals/securing-debian-manual/) dotyczącego zabezpieczania systemu, było takie zdanie "it is not a good idea to use nobody or nogroup for every service not running as root" - a przecież DNSCrypt-Proxy nie działa jako root...

Co o tym myślisz? Lepiej zostawić użytkownika _dnscrypt-proxy i grupę root czy zmienić tak, jak opisałem wyżej?

Ostatnio edytowany przez wiarus (2021-09-08 16:22:15)

morfik · 2021-08-25 23:30:54

Ja mam takie uprawnienia do plików dla dnscrypt:

Kod:

# ls -al /etc/dnscrypt-proxy
total 160
drwxr-xr-x   2 _dnscrypt-proxy root     4096 2021-08-22 11:28:13 ./
drwxr-xr-x 185 root            root    12288 2021-08-25 23:00:59 ../
-rw-r--r--   1 root            root      843 2018-08-08 15:15:01 blacklist.txt
-rw-r--r--   1 root            root      772 2018-08-05 13:12:01 cloaking-rules.txt
-rw-r--r--   1 root            root    23805 2020-10-28 19:55:51 dnscrypt-proxy.toml
-rw-r--r--   1 root            root      676 2019-10-31 13:49:45 forwarding-rules.txt
-rw-------   1 _dnscrypt-proxy root     2949 2020-08-10 03:00:26 localhost.pem
-rw-r--r--   1 _dnscrypt-proxy nogroup 83535 2021-08-25 11:33:52 public-resolvers.md
-rw-r--r--   1 _dnscrypt-proxy nogroup   307 2021-08-22 11:28:13 public-resolvers.md.minisig
-rw-r--r--   1 _dnscrypt-proxy nogroup  7803 2021-08-25 11:33:52 relays.md
-rw-r--r--   1 _dnscrypt-proxy nogroup   297 2021-08-22 11:28:13 relays.md.minisig
-rw-r--r--   1 root            root      723 2018-08-05 13:11:49 whitelist.txt

Może i ten localhost.pem ma grupę root ale ta grupa nie ma żadnych uprawnień, więc nie ważne co tam za grupa będzie, to i tak user'y tej grupy nie odczytają ani nie zmienią tego pliku. xD Te pliki z nogroup są pobierane z neta przez dnscrypt-proxy (ma główną grupę ustawioną na nogroup).

wiarus · 2021-08-26 10:14:35

Cześć. No tak, masz rację. Nie ma sensu zmieniać grupy dla tego pliku.

A tak przy okazji: zawsze jestem zdziwiony, że profil dla DNSCrypt-Proxy, tworzony od podstaw, jest tak prosty i niewielki. Ale to tylko dygresja.

Jeszcze jedno: morfik czy po skonfigurowaniu 'Local DoH', dodaniu wyjątku dla certyfikatu, podczas pierwszego wejścia na adres https://127.0.0.1:3000/dns-query, w Menadżerze Certyfikatów, zakładka Serwery miałeś następujący cert.:

Kod:

Serwer      Nazwa certyfikatu           Czas życia
----------------------------------------------------
127.0.0.1   Internet Widgits Pty Ltd    Tymczasowy

Pozdrawiam.

Ostatnio edytowany przez wiarus (2021-08-26 11:05:08)

wiarus · 2021-09-08 16:20:48

Cześć.

Morfik, napisałeś w jednej z wiadomości: "Póki co google ze swoim QUIC się przebija i chyba on zastąpi TLS". Podobno ruch DNSCrypt wygląda jak Chrome + QUIC. Ciekawe. Kilka tygodni temu przeczytałem o tym na jakiejś stronie, gdzie koleś sprawdzał, jak wygląda ruch DoH/T i DNSCrypt właśnie.

morfik · 2021-09-08 16:38:35

To zależy jak masz skonfigurowane. Jak używasz TCP, to ruch wygląda mniej więcej tak samo jak zwykle https. Jak używasz UDP, to pewnie wygląda jak QUIC albo zwyczajny ruch UDP, tego nie wiem, bo nie wiem jak wygląda QIUC. xD

Forum Debian Users Gang

Ogłoszenie

#1 2021-07-28 18:16:38

wiarus - Użytkownik

DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#2 2021-07-28 19:42:05

morfik - Cenzor wirtualnego świata

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#3 2021-07-29 08:10:16

wiarus - Użytkownik

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#4 2021-07-29 09:11:02

urbinek - Dzban Naczelny

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

wiarus napisał(-a):

#5 2021-07-29 13:42:18

morfik - Cenzor wirtualnego świata

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

Kod:

#6 2021-07-29 15:12:23

wiarus - Użytkownik

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#7 2021-07-29 16:39:57

morfik - Cenzor wirtualnego świata

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#8 2021-07-31 17:38:34

morfik - Cenzor wirtualnego świata

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#9 2021-08-11 18:02:40

wiarus - Użytkownik

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#10 2021-08-12 01:45:15

morfik - Cenzor wirtualnego świata

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#11 2021-08-12 11:56:43

wiarus - Użytkownik

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#12 2021-08-12 15:21:20

morfik - Cenzor wirtualnego świata

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#13 2021-08-20 16:45:43

Fryc - Użytkownik

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#14 2021-08-20 20:42:00

mark - Użytkownik

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#15 2021-08-20 23:00:33

morfik - Cenzor wirtualnego świata

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#16 2021-08-25 17:47:22

wiarus - Użytkownik

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#17 2021-08-25 23:30:54

morfik - Cenzor wirtualnego świata

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

Kod:

#18 2021-08-26 10:14:35

wiarus - Użytkownik

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

Kod:

#19 2021-09-08 16:20:48

wiarus - Użytkownik

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

#20 2021-09-08 16:38:35

morfik - Cenzor wirtualnego świata

Re: DNSCrypt-Proxy, Firefox - wsparcie dla 'ESNI', 'ECH'.

Stopka forum