Etc_05

[네이버] SNI 암호화 및 Https 차단 우회 방법

마지널 2018. 10. 31. 22:17

[네이버] SNI 암호화 및 Https 차단 우회 방법

https://blog.naver.com/hentai1783/221369904441

http://archive.is/YQRqK


아무튼 이 글은 미국에서 개발된 Encrypted SNI(암호화된 SNI)를 사용하는 방법을 기술한다.


ESNI를 사용하기 위해서는 몇가지 조건이 있다.


1) 접속하려는 사이트가 클라우드플레어를 사용할 것

2) 파이어폭스를 사용할 것


- - - -

만약 ESNI가 제대로 실행이 안된다면?

이걸 한번 점검해보자.


1)내가 설치한 파이어폭스가 Nightly가 맞는가?beta가 맞는가?

2)Doh를 적용했는가?

3)혹시 Nightlybeta의 업데이트가 올라왔는가?

4)ESNI가 정말 true로 설정되어 있는가?

5)Adguard나 프록시를 사용 중인가?

착각하는 사람이 있는데 Adguard를 끄라는 소리다.


- - - -

만약 Doh나 DNSSEC가 작동을 안한다면?

모바일 데이터면 DNSSEC가 작동하지 않는 경우가 있다.

PC면 여기서 시크릿 DNS를,n안드로이드면 Intra라는 어플을 쓰면 된다.


이러면 DNS 차단 우회는 되서 esni만 초록불 들어와도 문제없다.


- - - -

이거 다 했는데 왜 워닝이 떠요?

접속하려는 사이트 주소가 https:// 로 시작하는지 확인하고 들어가자.

가끔 https 자체를 지원하지 않는 미친 사이트가 있다. 그땐 VPN이 답이다.


ㅇㅇ 2018.10.19 05:19 (a6b79f15)

참고로 오늘 dns부터 시행될 것이고

snl는 올해말이나 내년초부터 시행될 거에요.


아직 우리나라 버젼으로 개발중이고

오늘 했던 것으로 기존 DNS차단 방식으로 관련사이트 약 150개 막아버렸어요.



ㅇㅇ 2018.10.19 05:33 (a6b79f15)

앞으로 인터넷 설정으로 dns를 변경해도 안되니

길호넷 시크릿 DNS http://kilho.net/archives/various/1803 쓰셔야 합니다!



ㅇㅇ 2018.10.19 07:52 (10d03427)

파이어폭스 나이틀리 버전까지 다 깔아도 DMM.co.jp 는 인덱스 페이지만 암호화 되고


내용물들은 다 워닝으로 리다이렉트 되네요. DMM 사이트 자체가 https 를 전면 적용한게 아니라서..


그리고 파이어폭스 현재 버전이 62.0.3 인데 esni 활성화 아직 안나왔습니다.

60버전 믿지 마시고 베타도 아직이고 나이틀리만 esni 활성화 항목이 있습니다.

esni 체크 들어가면 나이틀리만 제대로 된다고 나오니 까실 분들은

파폭과 나이틀리 두개 깔아놓으시고 따로 웹서핑 하시면 될겁니다.



38277437 2018.10.19 08:56 (43b638c9)

정부는 HTTPS 도메인을 완전히 차단하겠다고 으름장만 놓고 있을 뿐, 실상은 그것을 차단한 능력도 없을뿐더러 의지도 없는 것으로 보입니다



ㅇㅇ 2018.10.19 10:12 (2d9255bf)

우회가 되느냐 안 되느냐가 중요한 것이 아니라

이런 식으로 성인이 설 곳이 하나하나 불법화되고 음지화되는 게 문제라고 봅니다.


대체 성인이 성인물 보는 걸 이 나라처럼 극심하게 차단하고 검열하며

노골적으로 여성인권만을 부르짖는 나라가 또 어디 있습니까?



282882 2018.10.19 10:48 (43b638c9)

뉴질랜드가 있습니다



ㅇㅇ 2018.10.19 10:24 (aa70d6df)

능력이나 의지가 없다기보단 세게 나가기가 힘듭니다. 차단을 제대로 하려면 중국처럼 적극적으로 감청도 하고 VPN도 규제하고 그래야 하는데 그러면 이미지 엄청 구기거든요. 성공하던 못하던 국가 이미지가 중국급으로 추락할 일이기에 시도하기가 힘들어요. 사실 그걸 할 수 있는 나라도 중국수준의 나라나 가능합니다. 그런데 그 중국도 해외사이트로 빠져나가는 중국인 못막죠.



ㅇㅇ 2018.10.19 22:37 (3203b08e)

그런데 그 중국수준의 인터넷 규제를 불법사이트에 한해서지만 하겠다고 공포한 상태인거죠...일단 저렇게 차단할 수 있는 근거를 만들어두면 나중엔 지금 저희가 생각하는것 보다 많은것이 불법이란 이름하에 제한될지도 모릅니다... 이건 사실 우회법이 있으니 상관없다고 할만한 문제는 아니에요


지금 차단법이 '그냥 워닝', 'DNS' 이고 조금 있으면 추가될게 'SNI' 인데 이 게시글은 SNI차단을 우회하는 방법입니다. 시험 적용된 ESNI를 쓰는건데 잘 안된다면 DNS도 점검해 보세요. DNS는 원래 차단 초기때 쓰던건데 tls로 신나게 뚫리자 다시 들고 나왔습니다. DNS우회는 그냥 해외 DNS를 쓰거나 DNSCrypt같은걸 쓰면 됩니다.